Microsoft Bulut, Reuters tarafından yayınlanan bir rapora göre, Amerikan çok uluslu teknoloji şirketi Microsoft, binlerce bulut bilişim müşterisini verilerine erişilebileceği, değiştirilebileceği veya silinebileceği konusunda uyardı.
Müşteriler, tehdit aktörlerinin Microsoft Azure‘un chaosdb adlı amiral gemisi Cosmos DB veri tabanındaki bir güvenlik açığından yararlanarak ana veri tabanlarını bile silebilecekleri konusunda uyarıldı.
İddia edilen kusur, 9 Ağustos’ta, binlerce işletmeye ait veri tabanlarına erişimin kilidini açan anahtarları ele geçirebileceklerini tespit eden bir güvenlik araştırmacıları ekibi tarafından ortaya çıkarıldı. Araştırmacılar, ciddi güvenlik açığını tespit etmek ve bildirmek için Microsoft tarafından 40.000 ABD doları ödendiği bildirilen güvenlik şirketi Wiz tarafından istihdam edilmektedir.
Microsoft Bulut Veritabanı Hakkında Çıkan Sorunda Ne Yaptı:
Microsoft Reuters’e şunları söyledi: “müşterilerimizin güvenliğini ve korunmasını sağlamak için bu sorunu derhal çözdük. Güvenlik araştırmacılarına koordineli güvenlik açığı açıklaması kapsamında çalıştıkları için teşekkür ederiz.”
Ancak Reuters, şirketin müşterilerin anahtarlarında değişiklik yapamaması nedeniyle Microsoft’un sorunu hemen çözemediğini bildirdi. Bunun yerine, Microsoft dün bulut bilişim müşterilerine e-posta gönderdi ve onlara yeni sanal anahtarları kesmeleri talimatını verdi.
Microsoft Bulut, müşterilere gönderdiği e-postada şunları söyledi: “araştırmacı (Wız) dışındaki dış kuruluşların birincil okuma yazma anahtarına erişebildiğine dair hiçbir işaretimiz yok.”
Ancak güvenlik açığının ciddiyeti, Wız baş teknoloji sorumlusu Amı Luttwak’a açıktı. Microsoft’un Bulut Güvenlik grubundaki eski CTO şunları söyledi: “bu, hayal edebileceğiniz en kötü bulut güvenlik açığıdır. Bu uzun süreli bir sırdır.
Keşfe adanmış bir blog yazısında Wiz, araştırmacılarının “birçok Fortune 500 şirketi de dahil olmak üzere birkaç bin Microsoft Azure müşterisinin hesaplarına ve veri tabanlarına sınırsız erişim sağlayabildiklerini” belirtti.”
Luttwak, jupyter Notebook adlı bir görselleştirme aracında gizlenen kusurun, şirket yalnızca anahtarları ağustos ayında görülebilen müşterilere e-posta gönderdiğinden, bildirilmeyen ek Microsoft müşterilerini etkilemiş olabileceği konusunda uyardı.
Cybelangel’deki ürün stratejisi Başkan Yardımcısı Camille Charaudeau, kusurun “uygun bir fidye yazılımı saldırısı” için tüm koşulları yerine getirdiğini belirtti.”