微軟承認(rèn)Azure Cosmos數(shù)據(jù)庫(kù)漏洞：已持續(xù)兩年，波及3000多客戶(hù)

IT之家 8月28日消息 據(jù)外媒mspoweruser消息，微軟近日向超過(guò)3000名客戶(hù)發(fā)出通知，稱(chēng)Azure Cosmos數(shù)據(jù)庫(kù)的一項(xiàng)漏洞已經(jīng)存在了超過(guò)2年，在這期間，黑客有可能讀取、刪除、修改存放在Azure Cosmos數(shù)據(jù)庫(kù)的信息，建議客戶(hù)進(jìn)行檢查。這一服務(wù)的客戶(hù)包括埃森克美孚、可口可樂(lè)、賽門(mén)鐵克、蔡司等知名公司。

圖片來(lái)自mspoweruser

這個(gè)漏洞被稱(chēng)作“ChaosDB”，由安全公司W(wǎng)iz發(fā)現(xiàn)，具體來(lái)看包含一系列包含在Cosmos數(shù)據(jù)庫(kù)安裝過(guò)程中，自動(dòng)打開(kāi)Jupiter Notebook可視化特性的錯(cuò)誤配置。

IT之家了解到，盡管微軟表示遷移到Azure云服務(wù)器可以讓公司的數(shù)據(jù)更加安全，但是本次漏洞還是十分嚴(yán)重的。微軟于8月12日知道了這一漏洞，并在14日之前設(shè)法修復(fù)了問(wèn)題。幸運(yùn)的是，目前沒(méi)有證據(jù)表明該漏洞已經(jīng)被利用。

第三方安全公司W(wǎng)iz建議所有使用Cosmos數(shù)據(jù)庫(kù)的公司更換密鑰。由于首先發(fā)現(xiàn)了這一重大漏洞，微軟獎(jiǎng)勵(lì)了Wiz公司4萬(wàn)美元。