Microsoft heeft donderdag duizenden van zijn cloud computing-klanten, waaronder enkele van ’s werelds grootste bedrijven, gewaarschuwd dat indringers de mogelijkheid zouden kunnen hebben om hun belangrijkste databases te lezen, te wijzigen of zelfs te verwijderen, volgens een kopie van de e-mail en een cyberbeveiligingsonderzoeker.
De kwetsbaarheid zit in Microsoft Azure’s vlaggenschip Cosmos database. Een onderzoeksteam van beveiligingsbedrijf Wiz ontdekte dat het toegang kon krijgen tot sleutels die de toegang controleren tot databases van duizenden bedrijven.
Wiz Chief Technology Officer Ami Luttwak is een voormalig chief technology officer bij Microsoft’s Cloud Security Group.
Omdat Microsoft deze sleutels niet zelf kan wijzigen, stuurde het de klanten donderdag een e-mail met de boodschap dat ze nieuwe sleutels moesten aanmaken.
Microsoft stemde ermee in Wiz 40.000 dollar te betalen voor het vinden van de fout en het melden ervan, aldus een e-mail die het naar Wiz stuurde.
Woordvoerders van Microsoft gaven niet onmiddellijk commentaar.
In de e-mail die Microsoft naar klanten stuurde, staat dat het de kwetsbaarheid had verholpen en dat er geen aanwijzingen waren dat er misbruik van het lek was gemaakt. “We hebben geen aanwijzingen dat externe entiteiten buiten de onderzoeker (Wiz) toegang hadden tot de primaire read-write key”, aldus een kopie van de e-mail die door persbureau Reuters werd ingezien.
“Dit is de ergste kwetsbaarheid in de cloud die je je kunt voorstellen. Het is een langdurig geheim,” vertelde Luttwak aan Reuters. “Dit is de centrale database van Azure, en we waren in staat om toegang te krijgen tot elke klantendatabase die we wilden.”
Luttwak’s team ontdekte het probleem, dat de naam ChaosDB kreeg, op 9 augustus en bracht Microsoft op 12 augustus op de hoogte.
De onthulling komt na maanden van slecht beveiligingsnieuws voor Microsoft. Het bedrijf werd gehackt door dezelfde vermoedelijke Russische overheidshackers die SolarWinds infiltreerden en die hier Microsoft broncode stalen.
Een recente fix voor een printerfout die computerovernames mogelijk maakte, moest herhaaldelijk worden overgedaan.
En een fout in Exchange e-mail leidde vorige week tot een dringende waarschuwing van de Amerikaanse overheid dat klanten patches moeten installeren die maanden geleden zijn uitgegeven omdat ransomware bendes er nu misbruik van maken.
Aanmelden PrivacyZone Nieuwsbrief
Met een gratis abonnement op de PrivacyZone Nieuwsbrief voldoet u aan een van de eisen van de Europese privacywet GDPR / AVG. Wij houden u wekelijks op de hoogte met nieuws, jurisprudentie en advies. U wordt geacht deze ontwikkelingen actief te volgen en indien noodzakelijk gepaste maatregelen te treffen.
Bedankt voor uw aanmelding voor de PrivacyZone Nieuwsbrief.
U kunt u ten allen tijde eenvoudig afmelden voor de nieuwsbrief. Zie de Privacy Policy en Algemene Voorwaarden van PrivacyZone.