Nguy cơ lộ dữ liệu trên dịch vụ đám mây của Microsoft

[sunshine1104]

Microsoft gửi email cảnh báo tới hàng nghìn công ty sử dụng dịch vụ Cosmos DB về nguy cơ bị chiếm quyền kiểm soát cơ sở dữ liệu.

Nhóm nghiên cứu tại công ty bảo mật Wiz phát hiện lỗ hổng trong dịch vụ cơ sở dữ liệu Cosmos DB của Azure vào ngày 9/8 và đã gửi thông báo tới Microsoft. Lỗ hổng này, nếu không được vá kịp thời, có thể giúp kẻ tấn công truy cập vào cơ sở dữ liệu của hàng nghìn công ty.

Ami Luttwak, Giám đốc công nghệ của Wiz, nói với Reuters: "Đây là lỗ hổng đám mây tồi tệ nhất bạn có thể tưởng tượng. Đây là cơ sở dữ liệu trung tâm của Azure và chúng tôi có thể truy cập vào bất kỳ cơ sở dữ liệu khách hàng nào mà chúng tôi muốn".

Do không thể tự thay đổi khóa kiểm soát quyền truy cập, Microsoft đã gửi email yêu cầu khách hàng tạo khóa mới. Theo Reuters, Microsoft đồng ý trả cho Wiz 40.000 USD cho việc tìm ra và khắc phục lỗ hổng.

Tập đoàn phầm mềm Mỹ cho biết đã kịp thời sửa lỗ hổng và khẳng định: "Chúng tôi không tìm ra dấu hiệu nào cho thấy có đối tượng bên ngoài giành được quyền truy cập vào các khóa đọc-ghi chính".

Năm nay, Microsoft đối mặt với nhiều vấn đề bảo mật nghiêm trọng tương tự. Đầu năm, họ đã bị hacker xâm nhập và đánh cắp mã nguồn sử dụng trong xác thực khách hàng. Tuần trước, một lỗ hổng trong email Exchange cũng đã khiến chính phủ Mỹ phải đưa ra cảnh báo khẩn cấp, yêu cầu khách hàng cài đặt các bản vá mới nhất để tránh bị ransomware khai thác.