Microsoft предупредила тысячи пользователей об уязвимости в облачной платформе Azure
Критическую ошибку исправили, но злоумышленники могли получить доступ к базам данных.
Проблема связана с инструментом визуализации Jupyter Notebook в центральной базе Microsoft Azure Cosmos DB. Специалистам компании Wiz по информационной безопасности удалось завладеть первичными ключами, которые открывают доступ к тысячам баз данных на платформе.
Интересно, что технический директор Wiz Ами Люттвак — это бывший техдиректор подразделения облачной безопасности Microsoft. Он заявил, что «это худшая облачная уязвимость, которую только можно представить».
Поскольку Microsoft не может поменять ключи самостоятельно, 26 августа компания разослала клиентам электронные письма с рекомендациями и инструкциями по регистрации новых ключей.
На момент написания заметки ошибка уже исправлена. Microsoft заявила, что у неё нет доказательств использования метода злоумышленниками. Тем не менее компания выплатит Wiz 40 тысяч долларов за выявление уязвимости.
Azure — это облачная платформа Microsoft, которая предоставляет возможность разработки, развёртывания приложений и хранения данных на распределённых серверах. Компания активно привлекает предприятия и бизнес к переходу от дата-центров в «облако».