Технологический гигант предупредил своих клиентов об уязвимости в службе баз данных Cosmos DB после того, как её обнаружила компания Wiz, занимающаяся вопросами кибербезопасности. В сообщении, опубликованном в блоге Wiz, говорится, что компания смогла использовать уязвимость, которую она назвала «ChaosDB», для получения «полного неограниченного доступа к учетным записям и базам данных» тысяч клиентов Azure.
Клиенты Azure, включая компании из списка Fortune 500, такие как Coca-Cola и Exxon-Mobil, используют Cosmos DB для управления огромными объемами данных, которые они получают в режиме реального времени. Специалисты Wiz объяснили, что обнаружили ряд недостатков в функции Cosmos DB под названием Jupyter Notebook. Она даёт клиентам возможность визуализировать свои данные. Эта функция существует с 2019 года, но для всех клиентов Cosmos DB она была включена только в феврале этого года. Wiz заявляет, что серия неправильных конфигураций в блокноте создала лазейку, которая позволяет любому пользователю «загружать, удалять или манипулировать огромным массивом коммерческих баз данных, а также получить доступ на чтение/запись к базовой архитектуре Cosmos DB».
Microsoft оперативно отреагировала на предупреждение и всего за 48 часов закрыла доступ к лазейке. Microsoft также уведомила клиентов, которых затронула проблема.
Эксперты в области кибербезопасности считают, что уязвимость можно было использовать в течение нескольких месяцев и даже лет. Сейчас компания советует клиентам Azure сменить и регенерировать ключи доступа, даже если они не получили письмо от Microsoft. Тем не менее, технологический гигант заявил, что не нашел никаких доказательств того, что дефект использовался злоумышленниками.
Ранее технологический гигант обнаружил, что хакеры из группировки SolarWinds получили доступ к исходному коду Azure, своего облачного решения для управления Intune и своего сервера почты и календаря Exchange. Китайская хакерская группа Hafnium также использовала уязвимость в Exchange для проникновения десятки тысяч организаций по всему миру, включая полицейские управления, больницы и банки.
В США разработали «вечную» нанобатарею
Обычные батарейки быстро «выдыхаются» из-за компонентов, которые довольно быстро деградируют. Разработка исследователей Калифорнийского университета состоит из золотых…
Google продемонстрировала MusicLM – искусственный интеллект, генерирующий музыку
Команда инженеров Google презентовала новую систему искусственного интеллекта MusicLM. Она способна генерировать музыку по текстовому запросу.…
Дрон-натуралист собирает образцы ДНК с деревьев
Экологическая ДНК, или эДНК, оставленная живыми организмами, используется экологами для создания каталогов и отслеживания биоразнообразия. С…
Робот-нюхач найдёт опасные вещества по запаху
Технологии, созданные человеком, не могут конкурировать с эволюцией. Восприятие запахов – это та область, в которой мы…