Beheer

Security
Azure

Fout in Azure liet data twee jaar kwetsbaar voor hackers

3.300 Azure-klanten getroffen door fout.

27 augustus 2021

3.300 Azure-klanten getroffen door fout.

Een fout in de Microsoft Azure Cosmos DB zorgde twee jaar lang voor dat data van duizenden klanten kwetsbaar waren voor hackers. Het probleem ontstond in 2019, toen Microsoft een datavisualisatiefunctie genaamd Jupyter Notebook toevoegde aan de dienst. In februari 2021 werd deze functie standaard aangezet voor alle Cosmos DB's. 

Het probleem werd twee weken geleden ontdekt door beveiligingsbedrijf Wiz. Volgens het bedrijf konden onderzoekers via de fout toegang krijgen tot de primaire sleutels die de Cosmos DB-databases van Microsoft-klanten beveiligden, schrijft The Verge. Met die sleutels had Wiz naar eigen zeggen de mogelijkheid om de data van duizenden Azure-klanten te lezen, aan te passen en te verwijderen. In totaal werden 3.300 Azure-klanten geraakt, waaronder Coca Cola, Walgreens en ExxonMobil. 

Handmatig aanpassen

"Dit is de ergste cloudkwetsbaarheid die je je voor kunt stellen", zegt Ami Luttwak, CTO van Wiz, tegenover The Verge. "Dit is de centrale database van Azure en we konden toegang krijgen tot iedere klantdatabase die we wilden." Wiz meldde het probleem bij Microsoft, die het probleem binnen 48 uur verholp. Maar Microsoft kan de primaire toegangssleutels van de klanten niet veranderen. Daarom heeft Microsoft contact opgenomen met Cosmos DB-klanten, om hen te vragen de sleutels met de hand aan te passen. 

Vooralsnog zijn er geen signalen dat er ook daadwerkelijk misbruik is gemaakt van de kwetsbaarheid, aldus Microsoft tegenover Bloomberg

Lees meer over
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.