Microsoft (MSFT.O) të enjten paralajmëroi mijëra klientë të tij të cloud computing, përfshirë disa nga kompanitë më të mëdha në botë, se ndërhyrës mund të kenë aftësinë për të lexuar, ndryshuar apo edhe fshirë bazat e tyre të të dhënave kryesore, sipas një kopje të emailit dhe një studiues i sigurisë kibernetike.
Dobësia është në bazën e të dhënave kryesore të Microsoft Azure Cosmos DB. Një ekip kërkimor në kompaninë e sigurisë Wiz zbuloi se ishte në gjendje të hynte në çelësat që kontrollojnë aksesin në bazat e të dhënave të mbajtura nga mijëra kompani. Zyrtari kryesor i teknologjisë Wiz Ami Luttwak është një ish-oficer kryesor i teknologjisë në Grupin e Sigurisë Cloud të Microsoft-it.
Për shkak se Microsoft nuk mund t’i ndryshojë ato çelësa në vetvete, ai u dërgoi email klientëve të enjten duke u thënë atyre të krijojnë çelësa të rinj. Microsoft pranoi të paguajë Wiz 40,000 dollarë për gjetjen e defektit dhe raportimin e tij, sipas një emaili që i dërgoi Wiz.
“Ne e rregulluam këtë çështje menjëherë për t’i mbajtur klientët tanë të sigurt dhe të mbrojtur. Falenderojmë studiuesit e sigurisë që punuan nën zbulimin e koordinuar të cenueshmërisë,” tha Microsoft për Reuters.
Emaili i Microsoft-it për klientët tha se nuk kishte prova se defekti ishte shfrytëzuar. “Ne nuk kemi asnjë indikacion se njësitë e jashtme jashtë studiuesit (Wiz) kishin qasje në çelësin kryesor të leximit-shkrimit,” thuhej në email.
“Kjo është dobësia më e keqe që mund të imagjinoni. Është një sekret afatgjatë ”, tha Luttwak për Reuters. “Kjo është baza e të dhënave qendrore e Azure, dhe ne ishim në gjendje të kishim qasje në çdo bazë të dhënash të klientëve që donim.”
Ekipi i Luttwak gjeti problemin, të quajtur ChaosDB, më 9 gusht dhe njoftoi Microsoft më 12 gusht, tha Luttwak.
E meta ishte në një mjet vizualizimi të quajtur Jupyter Notebook, i cili ishte në dispozicion për vite me radhë, por u aktivizua si parazgjedhje në Cosmos duke filluar në shkurt. Pasi Reuters raportoi për të, Wiz e detajoi çështjen në një postim në blog.
Luttwak tha se edhe klientët të cilët nuk janë njoftuar nga Microsoft mund t’i kenë fshirë çelësat nga sulmuesit, duke u dhënë atyre akses derisa ato çelësa të ndryshohen. Microsoft u tha vetëm klientëve çelësat e të cilëve ishin të dukshëm këtë muaj, kur Wiz ishte duke punuar në këtë çështje.
Microsoft i tha Reuters se “klientët që mund të kenë qenë të prekur morën një njoftim nga ne”, pa shtjelluar më shumë.
Zbulimi vjen pas muajsh të lajmeve të këqija të sigurisë për Microsoft. Kompania u shkel nga të njëjtët hakerë të dyshuar të qeverisë ruse që infiltruan SolarWinds, të cilët vodhën kodin burimor të Microsoft. Pastaj një numër i madh i hakerave hynë në serverët e-mail të Exchange ndërsa një rregullim ishte duke u zhvilluar.
Problemet me Azure janë veçanërisht shqetësuese, sepse Microsoft dhe ekspertë të jashtëm të sigurisë po i shtyjnë kompanitë të braktisin pjesën më të madhe të infrastrukturës së tyre dhe të mbështeten në cloud për më shumë siguri.
Por edhe pse sulmet në cloud janë më të rralla, ato mund të jenë më shkatërruese kur të ndodhin. Për më tepër, disa nuk bëhen kurrë publike.
Një laborator kërkimor i kontraktuar nga federata gjurmon të gjitha të metat e sigurisë në software dhe i vlerëson ato sipas ashpërsisë. Por nuk ka asnjë sistem ekuivalent për defektet në arkitekturën cloud, kështu që shumë dobësi kritike mbeten të pazbuluara për përdoruesit, tha Luttwak.
Burimi: Reuters
