Kebocoran Azure: Microsoft nyaris lolos dari bencana besar

Itu bisa menjadi sangat salah: kelemahan keamanan memberi penyerang kemampuan untuk mencadangkan basis data hingga ribuan Contoh Microsoft Azure untuk membaca, mengubah atau menghapus sepenuhnya. Seolah-olah dengan keajaiban, tidak ada yang terjadi.

Perusahaan keamanan Wiz menemukan kerentanan di Cosmos DB dan memberi tahu Microsoft. Peneliti keamanan ada di sana, kata laporan kantor berita Reuters Akses kunci kriptografi yang digunakan oleh pengguna yang sah untuk mengidentifikasi diri mereka ke masing-masing instans DB. Dalam skenario terburuk, ini bisa mengakibatkan hilangnya atau manipulasi tiba-tiba dari database aplikasi dari ribuan bisnis dari semua ukuran.

Tidak diketahui secara pasti berapa lama masalah itu berlangsung. Namun, kerentanan itu pasti sudah tidak aktif dalam sistem untuk waktu yang lama, sampai untungnya ditemukan oleh para ahli yang bermaksud baik. “Kami tidak memiliki bukti bahwa siapa pun di luar, kecuali peneliti keamanan, memiliki akses ke kunci utama baca-tulis,” kata email yang dikirim Microsoft sebagai tindakan pencegahan kepada semua pelanggan layanan yang terpengaruh Azure.

Harap perbarui kunci segera!

Namun, bahaya yang dihasilkan dari pelanggaran keamanan itu sangat dramatis. “Ini adalah kerentanan cloud terburuk yang dapat Anda bayangkan,” kata Ami Luttwak, CTO Wiz. Dia sebelumnya memegang posisi kepemimpinan dalam keamanan di divisi cloud Microsoft dan karena itu sangat akrab dengan teknologi dan arsitektur di dalamnya. “Ini adalah database pusat Azure dan kami dapat menggunakannya untuk mengakses database pelanggan yang kami inginkan. ”

Tim Luttwak menemukan kerentanan pada 9 Agustus dan, tiga hari kemudian, memberi tahu pejabat di Redmond setelah pemindaian menyeluruh. Ada ucapan terima kasih publik dari Microsoft serta $ 40.000 dari program hadiah bug departemen Azure.

Dalam suratnya kepada pelanggan, Microsoft meminta mereka untuk membuat kunci akses baru. Ini tidak dapat dilakukan oleh penyedia, tetapi merupakan tanggung jawab masing-masing pengguna instans DB. Ini disarankan karena, terlepas dari kurangnya informasi, tidak dapat sepenuhnya dikecualikan bahwa penyerang tidak memiliki akses ke kunci.

Lihat juga:

Keamanan, pelanggaran keamanan, perlindungan data, keamanan, serangan, privasi, kejahatan, enkripsi, eksploitasi, kejahatan dunia maya, keamanan dunia maya, serangan peretas, kejahatan dunia maya, kriptografi, peretasan, serangan peretas, kunci, GDPR, enkripsi ujung ke ujung, kunci, laporan keamanan, keamanan, pemrosesan data, perangkat lunak enkripsi, ikon kunci