微软云服务Azure存严重安全漏洞入侵者可任意访问客户数据

财联社(上海 编辑 夏军雄)讯,据媒体报道,微软周四向其数千名云计算客户发出警告,其云服务Azure的旗舰数据库Cosmos存在安全漏洞,网络入侵者可能借此读取、更改甚至他们的主数据库。

据悉,安全公司Wiz的一个研究团队发现了Azure漏洞,通过该漏洞,它能够访问控制数千家公司数据库的密钥。Wiz首席技术官Ami Luttwak是微软云安全集团的前首席技术官,作为发现漏洞并报告的奖励,微软向Wiz提供了4万美元的报酬。

微软的云计算客户中不乏一些大公司,由于微软没有更改客户密钥的权限,该公司周四发邮件给相关客户,让他们创建新的密钥。

微软在邮件中表示,Azure的漏洞已经被修复,没有迹象表明Wiz以外的外部实体访问了住读写密钥。

Wiz的团队8月9日发现了这个名为ChaosDB的问题,并在8月12日通知了微软。Luttwak表示,这是他能想象到的最糟糕的云计算安全隐患,通过Azure的中央数据库,他们可以访问任何一个客户的数据库。

安全隐患已经成为了微软的老大难问题,在去年年底SolarWinds攻击事件中,黑客甚至窃取了微软的源代码。

受害者并不限于微软,今年以来发生了一系列勒索软件攻击,针对目标通常是大型企业或政府部门,这些受害对象通常财力雄厚,因此容易成为黑客的目标,美国最大成品油管网运营商Colonial Pipeline和全球最大肉类生产商JBS SA都曾遭到过勒索软件攻击。

美国总统拜登本周三会见了科技等行业大公司的负责人,要求他们加强网络安全防御,以应对日益复杂的网络攻击。为响应白宫的号召,微软承诺在未来五年内投入200亿美元来提供更先进的安全工具,该公司还将投资1.5亿美元帮助政府机构升级安全系统,并扩大网络安全培训合作伙伴关系。

(责任编辑:李显杰 )

文章内容来自网络,如有侵权,联系删除、联系电话:023-85238885

参与评论

请回复有价值的信息,无意义的评论将很快被删除,账号将被禁止发言。

评论区