Microsoft повідомила про злом хмарного сервісу Azure: "найгірше, що можна собі уявити"
Компанія Microsoft попередила тисячі своїх клієнтів хмарних обчислень Azure, включаючи багато компаній зі списку Fortune 500, про уразливість, через яку їх дані були повністю відкриті протягом останніх двох років.
Дефект в коді бази даних Azure Cosmos DB компанії Microsoft залишив понад 3300 клієнтів Azure відкритими для повного необмеженого доступу зловмисників. Уразливість з'явилася в 2019 році, коли Microsoft додала в Cosmos DB функцію візуалізації даних під назвою Jupyter Notebook. Функція була включена за замовчуванням для всіх баз даних Cosmos DB в лютому 2021 року.
Список клієнтів Azure Cosmos DB включає такі компанії, як Coca Cola, Liberty Mutual Insurance, ExxonMobil, Walgreens і інші.
"Це найстрашніша вразливість в хмарі, яку тільки можна собі уявити", - говорить Амі Люттвак, головний технічний директор Wiz, компанії з безпеки, яка виявила проблему. "Це центральна база даних Azure, і ми змогли отримати доступ до будь-якої базі даних клієнтів, яку хотіли".
Незважаючи на серйозність і ризик, Microsoft не знайшла жодних доказів того, що уразливість привела до незаконного доступу до даних. "Немає ніяких доказів того, що ця техніка використовувалася зловмисниками", - йдеться в заяві Microsoft, направленому по електронній пошті в агентство Bloomberg. "Ми не знаємо про випадки доступу до даних клієнтів через цю уразливість".
За даними Reuters, Microsoft заплатила Wiz 40000 доларів за відкриття.
В докладному повідомленні в блозі Wiz йдеться, що уразливість, внесена в Jupyter Notebook, дозволила дослідникам компанії отримати доступ до первинних ключів, які забезпечують безпеку баз даних Cosmos DB для клієнтів Microsoft. За допомогою цих ключів Wiz отримав повний доступ на читання / запис / видалення до даних декількох тисяч клієнтів Microsoft Azure.