微软云数据库被检测出存在数据泄露漏洞

(ChinaIT.com讯)近日,以色列云安全公司Wiz发现,存储在微软 Azure 云平台中的主要数据库存在巨大缺陷。Wiz可以访问 Cosmos DB 数据库系统的大多数用户的主要数字密钥,从而窃取、更改或删除数百万条记录。

据了解,在 Wiz 的提醒下,微软迅速修复了配置错误,该错误会使任何Cosmos DB 数据库用户都可以轻松进入其他客户的数据库,然后在周四通知一些用户更改他们的密钥。

微软在周五的一篇博客文章中表示,它警告在为期一周的研究期间设置了Cosmos DB 数据库访问权限的客户。微软指出,没有发现任何攻击者使用相同缺陷进入客户数据的证据。“我们的调查显示,除了研究人员的活动之外,没有任何未经授权的访问。”

“通知已发送给所有可能因研究人员活动而受到影响的客户,这可能是指该技术从 Wiz 泄露的可能性。虽然没有访问客户数据,但建议您重新生成主读写密钥。”

与此同时,美国国土安全部的网络安全和基础设施安全局在周五的公告中使用了更强硬的措辞明确表示,它不仅仅针对被通知的人。“CISA 强烈鼓励 Azure Cosmos DB 数据库客户滚动和重新生成他们的证书密钥。”

Wiz 专家同样赞成这样的做法。据了解,由来自Azure 内部安全团队的四名资深人士创立的 Wiz 专家之Wiz 首席技术官 Ami Luttwak表示,“在我看来,如果不是不可能的话,他们真的很难完全排除之前有人使用过它。”

此前在微软时,Ami Luttwak曾开发了记录云安全事件的工具。

当被问及在 Jupyter Notebook 功能配置错误时是否有完整的两年日志时,微软没有直接回答,或者是否使用了其他方法来排除访问滥用。微软发言人Ross Richendrfer拒绝回答其他问题,“我们将搜索范围扩大到研究人员的活动之外,以寻找当前和过去类似事件的所有可能活动。”

Wiz 表示,微软在研究中与它密切合作,但拒绝透露如何确保早期客户是安全的。“这太可怕了。我真的希望除了我们之外没有人发现这个错误。”

微软云数据库存在泄露漏洞,可以说正在威胁着微软云上的众多用户数据安全。微软云的,模糊回答更是证明了问题的严重性。近些日子以来,云安全问题正在频发,如阿里云泄露用户数据给第三方平台等。随着上云正在成为必然趋势,云平台存在数据泄露安全问题也为市场带来了更多担忧。

ChinaIT.com 网站文章仅限于提供更多信息,不代表本网站立场观点。如需转载,请注明来源 。转载之文章来源于互联网,如有版权问题,请与我们联系:content@chinait.com。

扫码关注ChinaIT小程序,随时掌握最新IT资讯