![[Подкаст] AI в програмирането - революция или еволюция?](https://digitalk.bg/shimg/zx320_4491024.jpg)
![[Подкаст] Стартъп адвокат: GDPR не е само за големите](https://digitalk.bg/shimg/zx320_4488151.jpg)
Бюлетин "Digitalk Security"
Информационната сигурност става все по-важна с увеличаването обхвата на технологиите в ежедневието. Двуседмичният специализиран бюлетин "Digitalk Security" предоставя на читателите най-важното от сферата в удобен вид на тяхната електронна поща.
Microsoft предупреди хиляди от своите потребители на облачни услуги Azure, включително много компании от Fortune 500, за уязвимост, която изцяло е изложила техните данни за последните две години, пише The Verge.
Слабост в услугата за бази данни на Microsoft Azure Cosmos DB е оставила информациятта на повече от 3 300 клиенти на Azure отворена за пълен неограничен достъп на хакери. Уязвимостта е била въведена през 2019, когато от Microsoft са добавили опция за визуализация на данни, наречена Jupyter Notebook към Cosmos DB. Функционалността е била включена по подразбиране за всички Cosmos DB през февруари 2021.
Сред клиентите на Azure Cosmos DB са компании като Coca Cola, Liberty Mutual Insurance, ExxonMobil и Walgreens.
"Това е най-лошата облачна уязвимост, която можете да си представите. Това е основна база данни на Azure и ние можехме да получим достъп до базите данни на всеки клиенти, който искахме", коментира Aми Лътуaк, главен технически директор в Wiz, капанията за сигурност, открила проблема.
Въпреки сериозността и риска от Microsoft не са виждали никакво доказателство за това уязвимостта да е довела до злонамерен достъп. "Няма никакви доказателства за това тази техника да е била използвана от злонамерени актьори. Ние нямаме информация потребителски данни да са били достъпени заради тази уязвимост", от белязват от Microsoft. Гигантът е платил на Wiz 40 хил. долара за откриването на проблема.
В подробна блог публикация от Wiz отбелязват, че уязвимостта, въведена чрез Jupyter Notebook, е позволила на изследователите на компанията да получат достъп до първичните ключове, които гарантират сигурността на Cosmos DB базите данни за Microsoft клиентите. С тези ключове Wiz са имали пълен достъп за четене, писане и изтриване на информацията на няколкото хиляди клиенти на Microsoft Azure.
От Wiz допълват, че са открили проблема преди две седмици и Microsoft са премахнали уязвимостта до 48 часа след докладването й от компанията за сигурност. Въпреки това от Microsoft все още не са променили първичните ключове за достъп на своите клиенти, като именно затова компанията е изпратила имейли до клиентите на Cosmos DB със съвет ръчно да променят своите ключове, за да намалят риска.
Това е последният подобен случай за Microsoft. Част от изходния код на компанията беше откраднат от SolarWinds хакери в края на декември, нейните Exchange имейл сървъри станаха жертва на пробив и рансъмуер атаки през март, а скорошна уязвимост при принтерите позволи на хакери да поемат контрола върху компютрите със системни привилегии. Но след като все повече данни в света се преместват към централизирани облачни услуги като Azure, днешното разкритие може да се окаже най-тежкото досега за Microsoft.
Microsoft предупреди хиляди от своите потребители на облачни услуги Azure, включително много компании от Fortune 500, за уязвимост, която изцяло е изложила техните данни за последните две години, пише The Verge.
Слабост в услугата за бази данни на Microsoft Azure Cosmos DB е оставила информациятта на повече от 3 300 клиенти на Azure отворена за пълен неограничен достъп на хакери. Уязвимостта е била въведена през 2019, когато от Microsoft са добавили опция за визуализация на данни, наречена Jupyter Notebook към Cosmos DB. Функционалността е била включена по подразбиране за всички Cosmos DB през февруари 2021.
