В облачном сервисе Microsoft Azure обнаружили уязвимость, из-за которой данные тысяч клиентов были в открытом доступе
Данные были доступны злоумышленникам более 2 лет, но их так никто и не украл
Данные были доступны злоумышленникам более 2 лет, но их так никто и не украл
Исследователи безопасности из компании Wiz обнаружили серьезную уязвимость в облачных сервисах Microsoft Azure. Из-за этой уязвимости данные компаний-клиентов сервиса находились в открытом доступе более 2 лет.
Об этом сообщает Информатор со ссылкой на Wiz.
В 2019 году Microsoft добавила в базу данных Azure Cosmos DB функцию Jupyter Notebook, которая позволяет клиентам визуализировать свои данные. Функция была включена по умолчанию для всех баз данных Cosmos DB в феврале 2021 года. Таким образом данные более 3 300 клиентов Azure оказались доступны всем желающим.
Исследователи из Wiz с помощью уязвимост смогли получить первичные ключи, которые обеспечивают безопасность баз данных Cosmos DB для клиентов Microsoft. С помощью этих ключей Wiz получил полный доступ на чтение/запись/удаление к данным нескольких тысяч клиентов Microsoft Azure. Среди клиентов Azure обнаружили Coca Cola, Liberty Mutual Insurance, ExxonMobil, Walgreens и другие компании.
"Это самая страшная уязвимость в облаке, которую только можно себе представить. Это центральная база данных Azure, и мы смогли получить доступ к любой базе данных клиентов, которую хотели", - говорит Ами Люттвак, главный технический директор Wiz.
Хотя эта уязвимость является очень серьезной, Microsoft уверяет, что никаких доказательств кражи данных нет. По данным Reuters, Microsoft заплатила Wiz $40 000 за обнаружение этой уязвимости.
"Нет никаких доказательств того, что эта техника использовалась злоумышленниками. Мы не знаем о случаях доступа к данным клиентов из-за этой уязвимости", - говорится в заявлении Microsoft, направленном по электронной почте в агентство Bloomberg.
Ранее мы сообщали, что Google и Microsoft выделят более $30 миллиардов на поддержку кибербезопасности США.
Подписывайтесь на наш Telegram-канал, чтобы не пропустить важные новости. За новостями в режиме онлайн прямо в мессенджере следите в нашем Telegram-канале Информатор Live. Подписаться на канал в Viber можно здесь.
Мы используем файлы cookie, чтобы обеспечить должную работу сайта, а контент и реклама отвечали Вашим интересам.