Een beveiligingsbedrijf ontdekte een probleem waardoor ze toegang kregen tot een grote hoeveelheid gegevens van klanten van Microsoft Azure-cloudservices. Microsoft stelt dat het niet weet dat het beveiligingslek is misbruikt door kwaadwillende actoren.
Het bedrijf dat de fout ontdekte, had toegang tot databases en had niet alleen de mogelijkheid om inhoud te bekijken, maar ook om informatie uit de Cosmos-database te wijzigen en te verwijderen.
Het was een onderzoeksteam van beveiligingsbedrijf Wiz dat ontdekte dat ze toegang hadden tot de sleutels die de toegang tot de databases van duizenden bedrijven regelen. De chief technology officer van Wiz, Ami Luttwak, is een voormalig manager binnen de cloudbeveiligingsgroep van Microsoft, dus hij speelde ook met een voordeel als het ging om het ontdekken van de fout.
Om bij de Cosmos-database te komen, kreeg het beveiligingsbedrijf eerst toegang tot de primaire sleutels van de klantendatabase. Er moet aan worden herinnerd dat Microsoft in 2019 een functie met de naam Jupyter Notebook aan de Cosmos-database heeft toegevoegd waarmee klanten hun gegevens kunnen visualiseren en aangepaste weergaven kunnen maken. De functie is in februari 2021 automatisch ingeschakeld voor alle Cosmos-databases.
Wiz herinnert ons eraan dat sommige van de bedrijven die deze Cosmos-database gebruiken, reuzen zijn zoals Coca-Cola, Exxon-Mobil en Citrix, zoals te zien is op de officiële website van deze dienst.
Microsoft kan deze sleutels niet wijzigen
Omdat Microsoft die sleutels niet zelf kan wijzigen, heeft het donderdag een e-mail naar klanten gestuurd met het verzoek om nieuwe sleutels te maken. Microsoft is overeengekomen om Wiz $ 40.000 te betalen voor het vinden van de bug en het rapporteren ervan. Microsoft-functionarissen hebben niet verder gereageerd op het beveiligingsprobleem.
In een e-mail die Microsoft naar Wiz stuurde, zegt het bedrijf dat het de kwetsbaarheid had verholpen en dat er geen bewijs was dat de bug was misbruikt. “We hebben geen aanwijzingen dat externe entiteiten buiten de onderzoeker (Wiz) toegang hadden tot de primaire lees-schrijfsleutel”, zegt de mail.
“Dit is de ergste kwetsbaarheid in de cloud die je je kunt voorstellen. Het is een langdurig geheim”, zegt Wiz Chief Technology Officer Ami Luttwak. “Dit is de centrale database van Azure en we konden toegang krijgen tot elke klantendatabase die we wilden”, voegt hij eraan toe.