Microsoft Exposed Cloud Database: Researchers, Cybersecurity Agency Urge Users to Change Digital Access Keys

जिन शोधकर्ताओं ने शनिवार को माइक्रोसॉफ्ट के एज़्योर क्लाउड प्लेटफॉर्म में संग्रहीत मुख्य डेटाबेस में भारी खामी की खोज की, उन्होंने सभी उपयोगकर्ताओं से अपनी डिजिटल एक्सेस कुंजियों को बदलने का आग्रह किया, न कि केवल 3,300 ने इस सप्ताह अधिसूचित किया।

जैसा कि रॉयटर्स द्वारा पहली बार रिपोर्ट किया गया था, Wiz . नामक क्लाउड सुरक्षा कंपनी के शोधकर्ताओं ने इस महीने खोजा गया वे कॉसमॉस डीबी डेटाबेस सिस्टम के अधिकांश उपयोगकर्ताओं के लिए प्राथमिक डिजिटल कुंजी तक पहुंच प्राप्त कर सकते थे, जिससे वे लाखों रिकॉर्ड चुरा सकते थे, बदल सकते थे या हटा सकते थे।

Wiz द्वारा अलर्ट किया गया, माइक्रोसॉफ्ट कॉन्फ़िगरेशन गलती को तेजी से ठीक किया जिससे किसी भी कॉसमॉस उपयोगकर्ता के लिए अन्य ग्राहकों के डेटाबेस में जाना आसान हो जाता, फिर कुछ उपयोगकर्ताओं को अपनी कुंजी बदलने के लिए गुरुवार को सूचित किया।

में एक ब्लॉग भेजा शुक्रवार को, माइक्रोसॉफ्ट ने कहा कि उसने उन ग्राहकों को चेतावनी दी है जिन्होंने सप्ताह भर की शोध अवधि के दौरान कॉसमॉस एक्सेस की स्थापना की थी। इसमें कोई सबूत नहीं मिला कि किसी भी हमलावर ने ग्राहक डेटा में शामिल होने के लिए उसी दोष का इस्तेमाल किया था, यह नोट किया।

“हमारी जांच से पता चलता है कि शोधकर्ता गतिविधि के अलावा कोई अनधिकृत पहुंच नहीं है,” माइक्रोसॉफ्ट ने लिखा। “सभी ग्राहकों को सूचनाएं भेजी गई हैं जो शोधकर्ता गतिविधि के कारण संभावित रूप से प्रभावित हो सकती हैं,” यह कहा, शायद इस मौके का जिक्र करते हुए कि तकनीक विज़ से लीक हो गई थी।

“हालांकि कोई ग्राहक डेटा एक्सेस नहीं किया गया था, यह अनुशंसा की जाती है कि आप अपनी प्राथमिक रीड-राइट कुंजी को पुन: उत्पन्न करें,” यह कहा।

यूएस डिपार्टमेंट ऑफ होमलैंड सिक्योरिटी की साइबर सिक्योरिटी एंड इंफ्रास्ट्रक्चर सिक्योरिटी एजेंसी ने शुक्रवार को एक बुलेटिन में मजबूत भाषा का इस्तेमाल किया, जिससे यह स्पष्ट हो गया कि यह न केवल अधिसूचित लोगों से बात कर रहा है।

“CISA Azure Cosmos DB ग्राहकों को अपनी प्रमाणपत्र कुंजी को रोल करने और पुन: उत्पन्न करने के लिए दृढ़ता से प्रोत्साहित करता है,” एजेंसी कहा.

Wiz के विशेषज्ञ, जिसकी स्थापना . के चार दिग्गजों ने की थी अज़ूर का आंतरिक सुरक्षा दल, सहमत हुए।

“मेरे अनुमान में, यह उनके लिए वास्तव में कठिन है, यदि असंभव नहीं है, तो पूरी तरह से इस बात से इंकार करना है कि किसी ने पहले इसका इस्तेमाल किया था,” चार में से एक, विज़ के मुख्य प्रौद्योगिकी अधिकारी अमी लुटवाक ने कहा। Microsoft में उन्होंने क्लाउड सुरक्षा घटनाओं को लॉग करने के लिए उपकरण विकसित किए।

यह पूछे जाने पर कि क्या जुपिटर नोटबुक सुविधा को गलत तरीके से कॉन्फ़िगर किया गया था, या एक्सेस दुरुपयोग से बचने के लिए किसी अन्य तरीके का इस्तेमाल किया था, माइक्रोसॉफ्ट ने सीधे जवाब नहीं दिया।

“हमने अतीत में वर्तमान और इसी तरह की घटनाओं के लिए सभी संभावित गतिविधि की तलाश के लिए शोधकर्ता की गतिविधियों से परे अपनी खोज का विस्तार किया,” प्रवक्ता रॉस रिचेंड्रफर ने अन्य प्रश्नों को संबोधित करने से इनकार करते हुए कहा।

विज ने कहा कि माइक्रोसॉफ्ट ने अनुसंधान पर इसके साथ मिलकर काम किया था, लेकिन यह कहने से इनकार कर दिया कि यह कैसे सुनिश्चित किया जा सकता है कि पहले के ग्राहक सुरक्षित थे।

“यह भयानक है। मैं वास्तव में आशा करता हूं कि हमारे अलावा किसी को भी यह बग नहीं मिला,” विज़, सागी तज़ादिक में परियोजना के प्रमुख शोधकर्ताओं में से एक ने कहा।

© थॉमसन रॉयटर्स 2021

---