Microsoft предупредила тысячи пользователей о компрометации облачных баз данных Azure

2214ba52136d2d68e3fd307ab2639497

Кoмпaния Microsoft прeдупрeдилa тысячи пoльзoвaтeлeй свoиx oблaчныx сeрвисoв o тoм, чтo злoумышлeнники мoгли пoлучить вoзмoжнoсть читaть, измeнять и дaжe удaлять xрaнящуюся инфoрмaцию. В числe потенциальных жертв — корпорации мирового масштаба.

Слабость обнаружена во «флагманской» базе данных Cosmos DB популярнейшего облачного сервиса Microsoft Azure. Эксперты компании Wiz, специализирующейся возьми обеспечении кибербезопасности, смогли унаследовать ключи, позволяющие контролировать проход к базам тысяч компаний. Примечательно, точно одним из основателей и техническим директором Wiz является задавшийся технический директор Microsoft Cloud Security Group Ами Люттвак (Ami Luttwak).

Поелику в Microsoft не могут нарушить супружескую вер ключи самостоятельно, они разослали оповещения пострадавшим компаниям, призывая сформировать новые, а компании Wiz будет выплачено 40 000 долларов (безлюдный (=малолюдный) особенно крупная для такого бизнеса число) за обнаружение уязвимости.

В области данным Microsoft, компания разом «залечила» проблему и нет свидетельств того, который помимо исследователей из Wiz который-то пытался воспользоваться «дырой» в системе безопасности. Соответственно мнению Люттвака, это худшая изо уязвимостей, которую вообще дозволительно представить — исследователи могли надергать доступ к данным любой компании в «центральной» базе данных Azure. По части его данным, проблема, названная ChaosDB, была обнаружена опять-таки 9 августа, а 12 августа братия сообщила о ней в Microsoft.

Источником проблемы стал гранильник визуализации Jupyter Notebook, контактный уже многие годы, хотя активируемый по умолчанию лишь только с февраля текущего. Люттвак опять же отметил, что ключи имеет смысл поменять даже тем пользователям, которых безлюдный (=малолюдный) оповестила Microsoft — не исключено, кое-что к их ключам также позволительно было получить доступ. В Microsoft утверждают, почто уже оповестили всех, кого годится.

Последняя уязвимость — только одна в череде проблем Microsoft в последние месяцы. Рядом этом проблемы с Azure имеют особое смысл, поскольку Microsoft и сторонние эксперты неотступно рекомендуют представителям бизнеса выливаться на «более безопасные» облачные сервисы, отказавшись ото собственной инфраструктуры для хранения данных.

Комментирование и размещение ссылок запрещено.

Комментарии закрыты.