Η Microsoft ενημέρωσε χιλιάδες πελάτες της που κάνουν χρήση cloud εφαρμογών, συμπεριλαμβανομένων μερικών από τις μεγαλύτερες εταιρείες του κόσμου, ότι εισβολείς θα μπορούσαν να έχουν τη δυνατότητα να διαβάζουν, να αλλάζουν ή και να διαγράφουν τις κύριες βάσεις δεδομένων τους.
Αυτό προκύπτει από το e-mail της εταιρείας και πληροφορίες από ερευνητή ασφάλειας στον κυβερνοχώρο που επικαλούνται διεθνή μέσα ενημέρωσης.
Πρόκειται για ένα ελάττωμα το οποίο εντοπίζεται στην κεντρική βάση δεδομένων Cosmos της Microsoft Azure. Μια ερευνητική ομάδα στην εταιρεία ασφαλείας Wiz ανακάλυψε ότι ήταν σε θέση να έχει πρόσβαση σε κωδικούς που ελέγχουν την πρόσβαση σε βάσεις δεδομένων τις οποίες κατέχουν χιλιάδες εταιρείες.
Ο επικεφαλής τεχνολογικός διευθυντής της Wiz, Άμι Λούτβακ, είναι πρώην επικεφαλής τεχνολογίας στο Cloud Security Group της Microsoft.
Καθώς η Microsoft δεν μπορεί να αλλάξει αυτούς τους κωδικούς από μόνη της, χρειάστηκε να στείλει e-mail στους πελάτες της σήμερα Πέμπτη, λέγοντάς τους να δημιουργήσουν νέα κλειδιά.
Η Microsoft συμφώνησε να πληρώσει στη Wiz 40.000 δολάρια για τον εντοπισμό του ελαττώματος και την αναφορά του, αναφέρει το CNBC.
Το e-mail
Στο e-mail της Microsoft προς τους πελάτες της αναφέρεται ότι έχει επιδιορθωθεί η ευπάθεια και ότι δεν υπάρχουν στοιχεία ότι το ελάττωμα έχει αξιοποιηθεί από επίδοξους εισβολείς. «Δεν έχουμε καμία ένδειξη ότι εξωτερικές οντότητες εκτός του ερευνητή (Wiz) είχαν πρόσβαση στον κύριο κωδικό ανάγνωσης-εγγραφής», σύμφωνα με αντίγραφο του email το οποίο επικαλείται το Reuters.
«Αυτή είναι η χειρότερη ευπάθεια στο cloud που μπορεί να συμβεί. Είναι ένα μυστικό μακράς διαρκείας», σχολίασε ο Λούτβακ στο Reuters. «Αυτή είναι η κεντρική βάση δεδομένων του Azure και [διαπιστώσαμε ότι] μπορούσαμε να αποκτήσουμε πρόσβαση σε οποιαδήποτε βάση δεδομένων πελατών θέλαμε».
Η ομάδα του Λούτβακ εντόπισε το πρόβλημα, που ονομάστηκε ChaosDB, στις 9 Αυγούστου και ειδοποίησε τη Microsoft στις 12 Αυγούστου, είπε ο Luttwak.
Άλλο ένα πρόβλημα για τη Microsoft
Όπως επισημαίνει το Reuters, η αποκάλυψη έρχεται μετά από μήνες αλλεπάλληλων κακών ειδήσεων ασφαλείας για τη Microsoft. Η εταιρεία δέχθηκε επίθεση από τους ίδιους ύποπτους ρωσικούς χάκερ που διείσδυσαν στο SolarWinds, οι οποίοι έκλεψαν τον πηγαίο κώδικα της Microsoft.
Επίσης, μια πρόσφατη επιδιόρθωση ελαττώματος σε εκτυπωτή έπρεπε να επαναληφθεί.
Και ένα ελάττωμα ηλεκτρονικού ταχυδρομείου του Exchange την προηγούμενη εβδομάδα προκάλεσε επείγουσα προειδοποίηση της αμερικανικής κυβέρνησης ότι οι χρήστες πρέπει να εγκαταστήσουν επιδιορθώσεις που εκδόθηκαν πριν από μήνες, επειδή οι επίδοξοι χάκερς το εκμεταλλεύονται τώρα.
Latest News
Κλείνουμε το TikTok στις ΗΠΑ αν αποτύχουν οι νομικές ενέργειες, λέει η ByteDance
Αιτία οι αλγόριθμοι στους οποίους στηρίζεται το TikTok οι θεωρούνται βασικοί για το σύνολο των δραστηριοτήτων της ByteDance
Kέρδη 12 δισ. δολάρια για τη Meta στο πρώτο τρίμηνο
Ζούκερμπεργκ: Θα χρειαστούν χρόνια για να βγάλουμε λεφτά από τη γεννητική τεχνητή νοημοσύνη
Πάνω από 24.000 Ακαδημαϊκές Ταυτότητες «κατέβηκαν» στο Gov.gr Wallet
Συνολικά μέχρι σήμερα στο Gov.gr Wallet έχουν εκδοθεί και αποθηκευτεί 2.508.670 δελτία αστυνομικής ταυτότητας,
Η Αpple έχασε το στέμμα της στην Κίνα - Ποιες εταιρείες την ξεπέρασαν σε πωλήσεις
Οι προωθητικές ενέργειας της Apple με καλύτερες τιμές, κατά το πρώτο τρίμηνο, δεν μπόρεσαν να μετριάσουν τον αντίκτυπο του έντονου ανταγωνισμού
Το μεγάλο κόλπο των χάκερς – Ποιες χώρες κάνουν πειραματόζωα για τις επιθέσεις τους
Τι αποκαλύπτει έρευνα σχετικά με τη δράση συμμοριών σε «πεδία δοκιμών»
O CEO του TikTok περνά στην αντεπίθεση - «Δεν φεύγουμε από τις ΗΠΑ»
Η υπογραφή Μπάιντεν στο σχετικό νομοσχέδιο ουσιαστικά ορίζει προθεσμία για την πώληση στις 19 Ιανουαρίου - μία ημέρα πριν από τη λήξη της θητείας του
Η Microsoft μέσω AI κερδίζει μερίδια αγοράς και στο cloud
Τι αναμένεται να δείξουν τα οικονομικά αποτελέσματα των τεχνολογικών κολοσσών των ΗΠΑ
Η Qualcomm μπαίνει και επισήμως στα... χωράφια των Intel και AMD
Η Qualcomm θεωρεί τα X Elite και X Plus άκρως ανταγωνιστικά και απέναντι στα τσιπ M3 της Apple
Υπό ρυθμιστικό έλεγχο στη Βρετανία οι ΑΙ συνεργασίες Microsoft-Amazon
Η Αρχή Ανταγωνισμού και Αγορών της Βρετανίας ζητά από τα ενδιαφερόμενα τρίτα μέρη τις απόψεις τους σχετικά με τις μεγάλες συνεργασίες που συνήψαν η Microsoft και η Amazon με μικρότερες εταιρείες AI
myAUEB: Η νέα εφαρμογή για το κινητό από το ΟΠΑ
Η πρώτη ολοκληρωμένη εφαρμογή κινητού σε ελληνικό ΑΕΙ από το Οικονομικό Πανεπιστήμιο Αθηνών