Beveiligingsonderzoekers wijzen op een beveiligingslek in de Microsoft Azure-service.
Na te zijn gewaarschuwd door beveiligingsonderzoekers van Wiz, het bedrijf uit Redmond heeft meer dan 3.300 Microsoft Azure-klanten op de hoogte gebracht (waaronder Coca-Cola, Citrix, Skype, Symantec, Rolls-Royce of zelfs ExxonMobil) met behulp van het Jupyter Notebook-systeem via Cosmos DB dat een inbreuk op de beveiliging de afgelopen twee jaar toegang tot zijn databases had toegestaan.
Volgens Ami Luttwak, CTO van Wiz, zou dit de ergste cloudkwetsbaarheid zijn die je je kunt voorstellen. Dit is de kerndatabase van Azure en we hadden toegang tot elke klantendatabase die we wilden. De fout gaf toegang tot de sleutels die de databases beschermen en gaf volledige toegang (lezen, schrijven, wissen) klant informatie. Microsoft van zijn kant (die Wiz tot $ 40.000 heeft beloond) geeft aan dat het de fout 48 uur na het rapport heeft gecorrigeerd en de klantfirma’s heeft gevraagd de belangrijkste toegangssleutels te wijzigen. Microsoft stelt ook dat er momenteel geen bewijs is dat deze fout wordt uitgebuit door kwaadwillende actoren.
Fontein
