Minden idők egyik legsúlyosabb felhőszolgáltatásos sebezhetőségét vallotta be a Microsoft, az Azure Cosmos DB adatbázis-szolgáltatásának egyik komponensében megbújt hibát kihasználva a hackerek 3300 ügyfél összes tárolt adatához hozzáférhettek volna, beleértve olyan cégeket, mint a Bentley, a Coca Cola, a Citrix, az ExxonMobil, és a Symantec.
A sérülékenység a 2019-ben elérhetővé vált Jupyter Notebook adatvizualizációs eszközben lapult, a komponenst idén februárban aktiválta alapértelmezetten az összes Cosmos DB adatbázisban a Microsoft. Ettől függetlenül a sebezhetőséggel az olyan ügyfelek adatbázisaihoz is hozzáférhettek volna a támadók, akik soha nem aktiválták a Jupyter Notebookot, továbbá letiltották az idei automatikus bekapcsolását.
A Microsoft szerint nincs rá bizonyíték, hogy a Wiz biztonsági cég által két hete jelentett hibát valaha kihasználták volna rosszindulatú támadók, a bejelentését követően 48 órán belül megszüntette a biztonsági rést. Ettől függetlenül jobb félni, mint megijedni alapon azt javasolja az ügyfeleknek, hogy inkább cseréljék le a Cosmos DB adatbázisaik elsődleges kulcsait.
A ChaosDB névre keresztelt sérülékenység jelentéséért 40 ezer dollár, durván 12 millió forint jutalmat kapott a Wiz.
Ha szeretne még több érdekes techhírt olvasni, akkor kövesse az Origo Techbázis Facebook-oldalát, kattintson ide!