Peneliti dan badan keamanan siber mendesak pengguna basis data cloud Microsoft untuk mengambil tindakan

28 Agustus (Reuters) – Para peneliti telah menemukan kelemahan besar dalam basis data utama yang disimpan di Microsoft (MSFT.O) Platform cloud Azure pada hari Sabtu mendesak semua pengguna untuk mengubah kunci akses digital mereka, bukan hanya 3.300 yang diberitahukan minggu ini.

sebagai yang pertama Dilaporkan oleh ReutersPara peneliti di perusahaan keamanan cloud bernama Wiz menemukan bulan ini bahwa mereka memiliki akses ke kunci digital utama dari sebagian besar pengguna Cosmos DB, yang memungkinkan mereka untuk mencuri, mengubah, atau menghapus jutaan catatan. Baca lebih lajut

Mengikuti peringatan dari Wiz, Microsoft dengan cepat memperbaiki bug konfigurasi yang akan memudahkan setiap pengguna Cosmos untuk mengakses basis data klien lain, kemudian beberapa pengguna pada hari Kamis melaporkan mengubah kunci mereka.

Dalam sebuah posting blog pada hari Jumat, Microsoft mengatakan telah memperingatkan pelanggan yang mengatur akses ke Cosmos selama periode penelitian selama seminggu. Disebutkan bahwa tidak menemukan bukti bahwa penyerang menggunakan kelemahan yang sama untuk mengakses data pelanggan.

“Penyelidikan kami menunjukkan bahwa tidak ada akses tidak sah selain aktivitas peneliti,” tulis Microsoft. “Pemberitahuan telah dikirim ke semua klien yang berpotensi terpengaruh oleh aktivitas peneliti,” katanya, mungkin merujuk pada kemungkinan kebocoran teknologi dari Wiz.

“Meskipun Anda tidak memiliki akses ke data pelanggan, Anda disarankan untuk membuat ulang kunci baca-tulis dasar Anda,” katanya.

Badan Keamanan Siber dan Keamanan Infrastruktur Departemen Keamanan Dalam Negeri AS menggunakan bahasa yang lebih keras dalam buletin Jumatnya, menjelaskan bahwa mereka tidak hanya berbicara kepada mereka yang telah diberi tahu.

CISA sangat mendorong klien Azure Cosmos DB untuk membuat ulang dan memperbarui kunci sertifikat mereka. Agensi mengatakan.

Para ahli di Wiz, yang didirikan oleh empat veteran Tim Keamanan Internal Azure, setuju.

“Menurut perkiraan saya, sangat sulit, jika bukan tidak mungkin, bagi mereka untuk sepenuhnya mengesampingkan bahwa seseorang telah menggunakan ini sebelumnya,” kata salah satu dari empat, Amy Luttwak, chief technology officer Wiz. Di Microsoft, ia mengembangkan alat untuk mencatat insiden keamanan cloud.

Microsoft tidak memberikan jawaban langsung ketika ditanya apakah memiliki catatan ekstensif selama dua tahun ketika fitur Notebook Jupyter salah dikonfigurasi, atau menggunakan metode lain untuk mengesampingkan penyalahgunaan akses.

“Kami telah memperluas pencarian kami di luar kegiatan peneliti untuk mencari semua kemungkinan kegiatan saat ini dan peristiwa serupa di masa lalu,” kata juru bicara Ross Rechinderfer, menolak menjawab pertanyaan lain.

Wiese mengatakan Microsoft bekerja sama dengannya dalam penelitian, tetapi menolak untuk mengatakan bagaimana hal itu memastikan keamanan pelanggan sebelumnya.

Ini menakutkan. Saya benar-benar berharap tidak ada orang selain kita yang dapat menemukan bug ini,” kata salah satu peneliti utama proyek di Wiz, Sagi Tzadik.

Pelaporan tambahan oleh Joseph Maine di San Francisco; Diedit oleh Richard Chang

Kriteria kami: Prinsip Kepercayaan Thomson Reuters.