Microsoft 云端资料库爆资安漏洞 警告数千客户改密钥
微软( Microsoft )云端资料库出现资安漏洞,本月26日警告数千名用户,资料库的内容可能遭骇客读取、窜改,甚至删除。客户中不乏全球知名大公司。
A critical vulnerability in #Microsoft's Azure Cosmos DB affecting thousands of its cloud computing customers allowed attackers to read, modify or even delete databases admin privileges.https://t.co/hRkqDegMHc
Microsoft notified over 30% of customers about potential breach.
— The Hacker News (@TheHackersNews) August 27, 2021
路透社根据微软寄发的电子邮件副本以及资安专家说法,独家报导上述消息。
出现资安漏洞的是微软云端服务 Azure 旗舰产品 Cosmos 资料库。资安公司 Wiz 的研究小组发现,他们有办法取得密钥,进而取得数千家公司所使用的资料库访问权。
Wiz 的科技长鲁瓦克( Ami Luttwak )过去曾是微软云端安全团队的科技长。
由于微软没有权限更改密钥,于是在26日发送电子邮件给客户,通知他们建立新的密钥。
根据微软寄送给 Wiz 的电子邮件,他们愿意支付4万美元给发现漏洞并回报微软的 Wiz 公司。
微软发言人尚未就此事发表谈话。
微软在寄给客户的电子邮件中提到,漏洞目前已经修复,没有证据显示遭到恶意使用。根据路透社取得的邮件副本,微软表示,没有发现来自研究员( Wiz 公司)之外、入侵读写密钥的痕迹。
鲁瓦克告诉路透社:「这是你所能想像最严重的云端漏洞,这是一直存在的秘密。这是 Azure 的中心资料库,只要我们想要,我们能侵入任何客户的资料库。」
他表示,团队在9日发现漏洞 ChaosDB,并在12日通知微软。
本新闻授权来自中央通讯社 cna.com.tw
.