Microsoft warns thousands of Azure cloud customers of exposed databases


नई दिल्ली: माइक्रोसॉफ्ट ने गुरुवार को दुनिया की कुछ सबसे बड़ी कंपनियों सहित अपने हजारों क्लाउड कंप्यूटिंग ग्राहकों को चेतावनी दी कि घुसपैठिए ईमेल की एक प्रति के अनुसार अपने मुख्य डेटाबेस को पढ़ने, बदलने या यहां तक ​​कि हटाने की क्षमता भी रख सकते हैं। साइबर सुरक्षा शोधकर्ता।

भेद्यता Microsoft Azure के प्रमुख Cosmos DB डेटाबेस में है। सुरक्षा कंपनी विज़ की एक शोध टीम ने पाया कि यह उन कुंजियों तक पहुँचने में सक्षम है जो हज़ारों कंपनियों द्वारा रखे गए डेटाबेस तक पहुँच को नियंत्रित करती हैं। Wiz के मुख्य प्रौद्योगिकी अधिकारी अमी लुटवाक Microsoft के क्लाउड सुरक्षा समूह में पूर्व मुख्य प्रौद्योगिकी अधिकारी हैं।

चूंकि माइक्रोसॉफ्ट उन चाबियों को स्वयं नहीं बदल सकता है, इसलिए उसने गुरुवार को ग्राहकों को ईमेल करके उन्हें नई बनाने के लिए कहा। Microsoft ने Wiz को भेजे गए एक ईमेल के अनुसार, दोष का पता लगाने और उसकी रिपोर्ट करने के लिए Wiz को $40,000 का भुगतान करने पर सहमति व्यक्त की।

माइक्रोसॉफ्ट ने रॉयटर्स को बताया, “हमने अपने ग्राहकों को सुरक्षित और संरक्षित रखने के लिए इस मुद्दे को तुरंत ठीक कर दिया। हम समन्वित भेद्यता प्रकटीकरण के तहत काम करने के लिए सुरक्षा शोधकर्ताओं को धन्यवाद देते हैं।”

ग्राहकों को माइक्रोसॉफ्ट के ईमेल में कहा गया है कि इस बात का कोई सबूत नहीं है कि दोष का फायदा उठाया गया था। ईमेल में कहा गया है, “हमारे पास इस बात का कोई संकेत नहीं है कि शोधकर्ता (विज़) के बाहर की बाहरी संस्थाओं की प्राथमिक रीड-राइट कुंजी तक पहुंच थी।”

“यह सबसे खराब क्लाउड भेद्यता है जिसकी आप कल्पना कर सकते हैं। यह एक लंबे समय तक चलने वाला रहस्य है, ”लुटवाक ने रायटर को बताया। “यह Azure का केंद्रीय डेटाबेस है, और हम किसी भी ग्राहक डेटाबेस तक पहुंच प्राप्त करने में सक्षम थे जो हम चाहते थे।”

लुटवाक की टीम ने 9 अगस्त को कैओसडीबी नामक समस्या का पता लगाया और 12 अगस्त को माइक्रोसॉफ्ट को सूचित किया, लुटवाक ने कहा।

दोष ज्यूपिटर नोटबुक नामक एक विज़ुअलाइज़ेशन टूल में था, जो वर्षों से उपलब्ध है, लेकिन फरवरी में शुरू होने वाले कॉसमॉस में डिफ़ॉल्ट रूप से सक्षम किया गया था। रॉयटर्स द्वारा दोष की रिपोर्ट के बाद, विज़ ने एक ब्लॉग पोस्ट में इस मुद्दे को विस्तृत किया।

लुटवाक ने कहा कि जिन ग्राहकों को माइक्रोसॉफ्ट द्वारा अधिसूचित नहीं किया गया है, वे भी हमलावरों द्वारा अपनी चाबियों को स्वाइप कर सकते थे, जब तक कि उन चाबियों को बदल नहीं दिया जाता। Microsoft ने केवल उन ग्राहकों को बताया जिनकी चाबियां इस महीने दिखाई दे रही थीं, जब Wiz इस मुद्दे पर काम कर रहा था।

Microsoft ने रायटर को बताया कि “जिन ग्राहकों को प्रभावित किया जा सकता है, उन्हें हमारी ओर से एक सूचना प्राप्त हुई है,” बिना विस्तार के।

Microsoft के लिए महीनों तक खराब सुरक्षा समाचार के बाद यह खुलासा हुआ है। कंपनी को उसी संदिग्ध रूसी सरकार के हैकर्स ने भंग कर दिया था, जिसने सोलरविंड्स में घुसपैठ की थी, जिन्होंने माइक्रोसॉफ्ट सोर्स कोड चुरा लिया था। जब एक पैच विकसित किया जा रहा था, तब बड़ी संख्या में हैकर्स ने एक्सचेंज ईमेल सर्वर में सेंध लगाई।

एक प्रिंटर दोष के लिए हाल ही में एक सुधार जिसने कंप्यूटर अधिग्रहण की अनुमति दी, उसे बार-बार फिर से करना पड़ा। पिछले हफ्ते एक और एक्सचेंज दोष ने एक तत्काल अमेरिकी सरकार को चेतावनी दी कि ग्राहकों को महीनों पहले जारी किए गए पैच को स्थापित करने की आवश्यकता है क्योंकि रैंसमवेयर गिरोह अब इसका फायदा उठा रहे हैं।

Azure के साथ समस्याएं विशेष रूप से परेशान कर रही हैं, क्योंकि Microsoft और बाहरी सुरक्षा विशेषज्ञ कंपनियों को अपने अधिकांश बुनियादी ढांचे को छोड़ने और अधिक सुरक्षा के लिए क्लाउड पर भरोसा करने के लिए प्रेरित कर रहे हैं।

लेकिन हालांकि बादल हमले अधिक दुर्लभ हैं, लेकिन जब वे होते हैं तो वे अधिक विनाशकारी हो सकते हैं। क्या अधिक है, कुछ को कभी प्रचारित नहीं किया जाता है। यह भी पढ़ें: शुरुआती कारोबार में सेंसेक्स 95 अंक टूटा; निफ्टी 16,600 . के आसपास रहा

एक संघ अनुबंधित अनुसंधान प्रयोगशाला सॉफ्टवेयर में सभी ज्ञात सुरक्षा खामियों को ट्रैक करती है और उन्हें गंभीरता से रेट करती है। लेकिन क्लाउड आर्किटेक्चर में छेद के लिए कोई समान प्रणाली नहीं है, इसलिए उपयोगकर्ताओं के लिए कई महत्वपूर्ण कमजोरियां अनजान रहती हैं, लुटवाक ने कहा। यह भी पढ़ें: iPhone 13 सीरीज 14 सितंबर को हो सकती है लॉन्च, जानें प्री-बुकिंग की तारीख और अन्य जानकारियां

.



Source link

Leave a Reply

Your email address will not be published. Required fields are marked *

Translate »