Кoмпaния Microsoft прeдупрeдилa тысячи пoльзoвaтeлeй свoиx oблaчныx сeрвисoв o тoм, чтo злoумышлeнники мoгли пoлучить вoзмoжнoсть читaть, измeнять и дaжe удaлять xрaнящуюся инфoрмaцию. В числe потенциальных жертв — корпорации мирового масштаба.
Слабость обнаружена во «флагманской» базе данных Cosmos DB популярнейшего облачного сервиса Microsoft Azure. Эксперты компании Wiz, специализирующейся возьми обеспечении кибербезопасности, смогли унаследовать ключи, позволяющие контролировать проход к базам тысяч компаний. Примечательно, точно одним из основателей и техническим директором Wiz является задавшийся технический директор Microsoft Cloud Security Group Ами Люттвак (Ami Luttwak).
Поелику в Microsoft не могут нарушить супружескую вер ключи самостоятельно, они разослали оповещения пострадавшим компаниям, призывая сформировать новые, а компании Wiz будет выплачено 40 000 долларов (безлюдный (=малолюдный) особенно крупная для такого бизнеса число) за обнаружение уязвимости.
В области данным Microsoft, компания разом «залечила» проблему и нет свидетельств того, который помимо исследователей из Wiz который-то пытался воспользоваться «дырой» в системе безопасности. Соответственно мнению Люттвака, это худшая изо уязвимостей, которую вообще дозволительно представить — исследователи могли надергать доступ к данным любой компании в «центральной» базе данных Azure. По части его данным, проблема, названная ChaosDB, была обнаружена опять-таки 9 августа, а 12 августа братия сообщила о ней в Microsoft.
Источником проблемы стал гранильник визуализации Jupyter Notebook, контактный уже многие годы, хотя активируемый по умолчанию лишь только с февраля текущего. Люттвак опять же отметил, что ключи имеет смысл поменять даже тем пользователям, которых безлюдный (=малолюдный) оповестила Microsoft — не исключено, кое-что к их ключам также позволительно было получить доступ. В Microsoft утверждают, почто уже оповестили всех, кого годится.
Последняя уязвимость — только одна в череде проблем Microsoft в последние месяцы. Рядом этом проблемы с Azure имеют особое смысл, поскольку Microsoft и сторонние эксперты неотступно рекомендуют представителям бизнеса выливаться на «более безопасные» облачные сервисы, отказавшись ото собственной инфраструктуры для хранения данных.