У хмарному сервісі Microsoft Azure виявили уразливість, через яку дані тисяч клієнтів були у відкритому доступі

Дослідники безпеки з компанії Wiz виявили серйозну уразливість у хмарних сервісах Microsoft Azure. Через цю уразливість дані компаній-клієнтів сервісу перебували у відкритому доступі більше 2 років.

Про це повідомляє Інформатор із посиланням на Wiz.

У 2019 Microsoft додала в базу даних Azure Cosmos DB функцію Jupyter Notebook, яка дозволяє клієнтам візуалізувати свої дані. Функція була включена за замовчуванням для всіх баз даних Cosmos DB в лютому 2021 року. Таким чином дані більше 3 300 клієнтів Azure виявилися доступними всім бажаючим.

Дослідники з Wiz за допомогою вразливості змогли отримати первинні ключі, які забезпечують безпеку баз даних Cosmos DB для клієнтів Microsoft. За допомогою цих ключів Wiz отримав повний доступ на читання/запис/видалення до даних декількох тисяч клієнтів Microsoft Azure. Серед клієнтів Azure виявили Coca Cola, Liberty Mutual Insurance, ExxonMobil, Walgreens і інші компанії.

"Це найстрашніша вразливість у хмарі, яку тільки можна собі уявити. Це центральна база даних Azure, і ми змогли отримати доступ до будь-якої базі даних клієнтів, яку хотіли", - говорить Амі Люттвак, головний технічний директор Wiz.

Хоча ця вразливість є дуже серйозною, Microsoft запевняє, що ніяких доказів крадіжки даних немає. За даними Reuters, Microsoft заплатила Wiz $40 000 за виявлення цієї уразливості.

"Немає ніяких доказів того, що ця техніка використовувалася зловмисниками. Ми не знаємо про випадки доступу до даних клієнтів через цю уразливість", - йдеться в заяві Microsoft, направленій електронною поштою в агентство Bloomberg.

Раніше ми повідомляли, що Google і Microsoft виділять понад $30 мільярдів на підтримку кібербезпеки США.

Підписуйтесь на наш Telegram-канал, щоб не пропустити важливі новини. За новинами в режимі онлайн прямо в месенджері стежте в нашому Telegram-каналі Інформатор Live. Підписатися на канал у Viber можна тут.