Microsoft Azure Cosmos DB 将客户数据暴露在网上

未分类 tobmac 3周前 (08-30) 18次浏览 已收录 0个评论 扫描二维码
Microsoft Azure Cosmos DB 将客户数据暴露在网上

微软本周遭遇了第二次重大数据恐慌。在 PowerApps 泄漏暴露了 3800 万条私人记录之后,Microsoft Azure 漏洞允许数据在线可用。事实上,这个漏洞意味着数据已经暴露了长达两年之久。

安全公司Wiz发现并披露了该问题,该问题是在 Microsoft Azure Cosmos DB 中发现的。具体来说,3300多家客户的数据是开放的,可以不受限制地在线访问。威胁行为者可以访问这些信息并将其用于网络攻击。

Azure Cosmos DB在 Build 2017 上宣布。它是一个云数据库服务,是一个从头开始创建的全新平台。它允许客户为全球规模的云服务和海量数据应用程序提供支持。Microsoft 将 Cosmos DB 描述为同类服务中的首创,在第 99百分位保证正常运行时间、一致性、吞吐量和延迟。

Wiz 的首席技术官 Ami Luttwak 表示,不应低估这种泄漏的危险。

“这是你能想象到的最严重的云漏洞。这是 Azure 的中央数据库,我们能够访问我们想要的任何客户数据库。”

问题来自微软在 2019 年添加到 Azure Cosmos DB 的 Jupyter Notebook 功能。虽然该工具允许用户创建其数据的自定义视图,但错误配置允许攻击者利用 Jupyter Notebook 访问客户数据

持续威胁

自 2019 年以来,这已经成为可能,但现在问题变得更糟,因为微软在今年早些时候将 Jupyter Notebook 设为了一项自动功能。Wiz 能够利用该漏洞访问 Azure Cosmos DB 并访问用户读取、删除和写入权限。

Wiz 两周前通知了微软,该公司发布了一个补丁。但是,由于微软无法更改客户的访问密钥,该公司即将上市。用户必须知道手动更改密钥以避免漏洞。

微软已经通知了大约 30% 的 Cosmos DB 客户,但 Wiz 希望公开信息以帮助更多客户。微软在接受彭博社采访时表示,“没有证据表明这种技术被恶意行为者利用。”

该公司为发现该缺陷向 Wiz 支付了 40,000 美元。


TobMAC , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:Microsoft Azure Cosmos DB 将客户数据暴露在网上
喜欢 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址