Exploit Microsoft Azure

Проблема связана с ключами, используемыми для доступа к флагманской службе баз данных Microsoft Azure Cosmos DB, и была обнаружена две недели назад компанией Wiz, занимающейся кибербезопасностью. «Каково же было наше удивление, когда мы смогли получить полный неограниченный доступ к учетным записям и базам данных нескольких тысяч клиентов Microsoft Azure, в том числе многих компаний из списка Fortune 500», — сообщила Wiz в своем блоге.
«Это худшая “облачная” уязвимость, которую только можно представить, — заявил в интервью информагентству главный технологический директор Wiz Ами Лутвак. — Это центральная база данных Azure, и мы могли получить доступ к любой из клиентских баз данных».
Специалисты Wiz смогли получить ключи, которые открывают доступ к базам данных тысяч предприятий (как отметили в компании, в том числе Coca-Cola, Exxon-Mobil и Citrix). Поскольку Microsoft не может изменить эти ключи самостоятельно, в четверг она отправила клиентам электронное письмо с просьбой создать новые. Microsoft согласилась выплатить баунти 40 000$

Ссылка на источник

adPlace