2021-08-27T01:48:42Z

路透旧金山8月26日 - 微软周四警告其数以千计的云计算客户称,根据一份电邮副本和一位网络安全研究员表示,网路入侵者可能有能力读取、改变甚至删除他们的主数据库。这些客户中包括一些全球最大的公司。

该漏洞存在于微软Azure的旗舰产品Cosmos数据库。安全公司Wiz的一个研究团队发现,它能够访问控制数千家公司数据库的密钥。Wiz的首席技术官Ami Luttwak是微软云安全集团的前首席技术官。

由于不能自行更改这些密钥,微软周四向客户发送电邮,告诉他们创建新的密钥。根据微软发给Wiz的电邮,微软同意因Wiz发现并报告该漏洞向其支付40,000美元。

微软发言人没有立即发表评论。

微软给客户的电邮称,已经修复这个漏洞,而且没有证据表明这个漏洞已被利用。路透看到的电邮副本称,“我们没有看到迹象表明研究员(Wiz)以外的外部实体曾经访问过主要的读写密钥。”

“这是你能想象的最糟糕的云计算漏洞。这是一个长期存在的秘密,”Luttwak告诉路透,“这是Azure的中心数据库,我们能够访问我们想要的任何客户数据库。”

Luttwak说,他的团队在8月9日发现了这个被称为ChaosDB的问题,并于8月12日通知了微软。(完)