Technology

Microsoft Warns Thousands of Azure Cloud Customers of Exposed Cosmos DB Databases

Microsoft ने गुरुवार को अपने हजारों क्लाउड कंप्यूटिंग ग्राहकों को चेतावनी दी, जिसमें दुनिया की कुछ सबसे बड़ी कंपनियां भी शामिल हैं, कि घुसपैठिए ईमेल की एक प्रति और एक साइबर सुरक्षा शोधकर्ता के अनुसार, अपने मुख्य डेटाबेस को पढ़ने, बदलने या यहां तक ​​​​कि हटाने की क्षमता रख सकते हैं।

भेद्यता में है माइक्रोसॉफ्ट Azure का प्रमुख Cosmos DB डेटाबेस। सुरक्षा कंपनी विज़ की एक शोध टीम ने पाया कि यह उन कुंजियों तक पहुँचने में सक्षम है जो हज़ारों कंपनियों द्वारा रखे गए डेटाबेस तक पहुँच को नियंत्रित करती हैं। Wiz के मुख्य प्रौद्योगिकी अधिकारी अमी लुटवाक Microsoft के क्लाउड सुरक्षा समूह में पूर्व मुख्य प्रौद्योगिकी अधिकारी हैं।

चूंकि माइक्रोसॉफ्ट उन चाबियों को स्वयं नहीं बदल सकता है, इसलिए उसने गुरुवार को ग्राहकों को ईमेल करके उन्हें नई बनाने के लिए कहा। विज़ को भेजे गए एक ईमेल के अनुसार, माइक्रोसॉफ्ट ने इस खामी का पता लगाने और इसकी रिपोर्ट करने के लिए Wiz को $40,000 (लगभग 30 लाख रुपये) का भुगतान करने पर सहमति व्यक्त की।

माइक्रोसॉफ्ट ने रॉयटर्स को बताया, “हमने अपने ग्राहकों को सुरक्षित और संरक्षित रखने के लिए इस मुद्दे को तुरंत ठीक कर दिया। हम समन्वित भेद्यता प्रकटीकरण के तहत काम करने के लिए सुरक्षा शोधकर्ताओं को धन्यवाद देते हैं।”

ग्राहकों को माइक्रोसॉफ्ट के ईमेल में कहा गया है कि इस बात का कोई सबूत नहीं है कि दोष का फायदा उठाया गया था। ईमेल में कहा गया है, “हमारे पास इस बात का कोई संकेत नहीं है कि शोधकर्ता (विज़) के बाहर की बाहरी संस्थाओं की प्राथमिक रीड-राइट कुंजी तक पहुंच थी।”

“यह सबसे खराब क्लाउड भेद्यता है जिसकी आप कल्पना कर सकते हैं। यह एक लंबे समय तक चलने वाला रहस्य है, ”लुटवाक ने रायटर को बताया। “यह Azure का केंद्रीय डेटाबेस है, और हम किसी भी ग्राहक डेटाबेस तक पहुंच प्राप्त करने में सक्षम थे जो हम चाहते थे।”

लुटवाक की टीम ने 9 अगस्त को कैओसडीबी नामक समस्या का पता लगाया और 12 अगस्त को माइक्रोसॉफ्ट को सूचित किया, लुटवाक ने कहा।

दोष ज्यूपिटर नोटबुक नामक एक विज़ुअलाइज़ेशन टूल में था, जो वर्षों से उपलब्ध है, लेकिन फरवरी में शुरू होने वाले कॉसमॉस में डिफ़ॉल्ट रूप से सक्षम किया गया था। रॉयटर्स द्वारा खामी की रिपोर्ट करने के बाद, विज़ ने इस मुद्दे को एक में विस्तृत किया ब्लॉग भेजा.

लुटवाक ने कहा कि जिन ग्राहकों को माइक्रोसॉफ्ट द्वारा अधिसूचित नहीं किया गया है, वे भी अपनी चाबियों को हमलावरों द्वारा स्वाइप कर सकते थे, जब तक कि उन चाबियों को बदल नहीं दिया जाता। Microsoft ने केवल उन ग्राहकों को बताया जिनकी चाबियां इस महीने दिखाई दे रही थीं, जब Wiz इस मुद्दे पर काम कर रहा था।

Microsoft ने रायटर को बताया कि “जिन ग्राहकों को प्रभावित किया गया है, उन्हें हमारी ओर से एक सूचना प्राप्त हुई है,” बिना विस्तार के।

Microsoft के लिए महीनों की खराब सुरक्षा समाचार के बाद यह खुलासा हुआ है। कंपनी को उसी संदिग्ध रूसी सरकार के हैकर्स द्वारा भंग किया गया था जिसने घुसपैठ की थी ओरियन, जिन्होंने माइक्रोसॉफ्ट सोर्स कोड चुराया था। जब एक पैच विकसित किया जा रहा था, तब बड़ी संख्या में हैकर्स ने एक्सचेंज ईमेल सर्वर में सेंध लगाई।

कंप्यूटर अधिग्रहण की अनुमति देने वाले प्रिंटर दोष के लिए हाल ही में एक सुधार को बार-बार फिर से करना पड़ा। पिछले हफ्ते एक और एक्सचेंज दोष ने एक तत्काल अमेरिकी सरकार को प्रेरित किया चेतावनी ग्राहकों को महीनों पहले जारी किए गए पैच इंस्टॉल करने की आवश्यकता है क्योंकि रैंसमवेयर गिरोह अब इसका फायदा उठा रहे हैं।

के साथ समस्याएं नीला विशेष रूप से परेशान कर रहे हैं, क्योंकि माइक्रोसॉफ्ट और बाहरी सुरक्षा विशेषज्ञ कंपनियों को अपने अधिकांश बुनियादी ढांचे को छोड़ने और अधिक सुरक्षा के लिए क्लाउड पर भरोसा करने के लिए प्रेरित कर रहे हैं।

लेकिन हालांकि बादल हमले अधिक दुर्लभ हैं, लेकिन जब वे होते हैं तो वे अधिक विनाशकारी हो सकते हैं। क्या अधिक है, कुछ को कभी प्रचारित नहीं किया जाता है।

एक संघ अनुबंधित अनुसंधान प्रयोगशाला सॉफ्टवेयर में सभी ज्ञात सुरक्षा खामियों को ट्रैक करती है और उन्हें गंभीरता से रेट करती है। लेकिन क्लाउड आर्किटेक्चर में छेद के लिए कोई समान प्रणाली नहीं है, इसलिए उपयोगकर्ताओं के लिए कई महत्वपूर्ण कमजोरियां अनजान रहती हैं, लुटवाक ने कहा।

© थॉमसन रॉयटर्स 2021


क्या गैलेक्सी जेड फोल्ड 3 और जेड फ्लिप 3 अभी भी उत्साही लोगों के लिए बने हैं – या वे सभी के लिए पर्याप्त हैं? हमने इस पर चर्चा की कक्षा का, गैजेट्स 360 पॉडकास्ट। कक्षीय उपलब्ध है एप्पल पॉडकास्ट, गूगल पॉडकास्ट, Spotify, अमेज़न संगीत और जहां भी आपको अपने पॉडकास्ट मिलते हैं।

.

Related Articles

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button