مایکروسافت به هزاران مشتری سرویس ابری آژور هشدار داده که اطلاعات آنها بر اثر یک آسیبپذیری جدی در طول دو سال اخیر بهطور کامل در دسترس بوده است. در میان این مشتریان بسیاری از شرکتهای فهرست فورچون ۵۰۰ هم حضور دارند.
یک آسیبپذیری در پایگاه داده Microsoft Azure Cosmos DB باعث شده مهاجمان بهصورت غیرمجاز به اطلاعات بیش از ۳۳۰۰ مشتری سرویس آژور دسترسی پیدا کنند. این آسیبپذیری زمانی به وجود آمد که مایکروسافت در سال ۲۰۱۹ قابلیتی به نام Jupyter Notebook را به Cosmos DB اضافه کرد. این ویژگی در ماه فوریه سال ۲۰۲۱ به شکل پیشفرض برای همه کاربران فعال شد.
وبسایت سرویس Azure Cosmos DB نامهایی همچون کوکاکولا، اکسانموبیل، والگرینز و Liberty Mutual Insurance را به عنوان مشتریان خود ذکر کرده است. «امی لوتواک»، مدیر ارشد فناوری شرکت Wiz که این ایراد را کشف کرده میگوید: «این بدترین آسیبپذیری ابری قابل تصور است. بحث پایگاه داده مرکزی آژور در میان است و میتوانیم به هر پایگاه دادهای که بخواهیم دسترسی پیدا کنیم.»
مایکروسافت میگوید با وجود شدت و خطر آسیبپذیری هنوز هیچ مدرکی مبنی بر دسترسی غیرمجاز به اطلاعات پیدا نکرده است. این شرکت بابت کشف این آسیبپذیری ۴۰ هزار دلار به Wiz پاداش داده و مدعی است که بررسی لاگها از رخنه به پایگاههای داده این سرویس حکایت نمیکند.
شرکت Wiz در پست مفصلی میگوید آسیبپذیری حاضر به محققان اجازه داده به کلیدهایی دسترسی پیدا کنند که ایمنی پایگاههای داده Cosmos DB را برای کاربران مایکروسافت تامین میکنند. کسی که این کلیدها را در دست میگیرد، به قابلیت کامل خواندن، نوشتن و حذف اطلاعات هزاران کاربر سرویس آژور دست مییابد.
Wiz مدعی است که این مشکل را دو هفته پیش پیدا و مایکروسافت پس از ۴۸ ساعت آن را برطرف کرده است. با این حال، مایکروسافت نمیتواند کلیدهای اصلی مشتریان خود را تغییر دهد و به همین دلیل به کاربران Cosmos DB ایمیل داده تا آنها بهصورت دستی با تغییر کلیدها جلوی خطر احتمالی را بگیرند.