Компания Microsoft предупредила тысячи пользователей своих облачных сервисов о том, что злоумышленники могли получить возможность читать, изменять и даже удалять хранящуюся информацию. В числе потенциальных жертв — корпорации мирового масштаба.

Уязвимость обнаружена во «флагманской» базе данных Cosmos DB популярнейшего облачного сервиса Microsoft Azure. Эксперты компании Wiz, специализирующейся на обеспечении кибербезопасности, смогли получить ключи, позволяющие контролировать доступ к базам тысяч компаний. Примечательно, что одним из основателей и техническим директором Wiz является бывший технический директор Microsoft Cloud Security Group Ами Люттвак (Ami Luttwak).

Поскольку в Microsoft не могут изменить ключи самостоятельно, они разослали оповещения пострадавшим компаниям, призывая создать новые, а компании Wiz будет выплачено 40 000 долларов (не особенно крупная для такого бизнеса сумма) за обнаружение уязвимости.

По данным Microsoft, компания немедленно «залечила» проблему и нет свидетельств того, что помимо исследователей из Wiz кто-то пытался воспользоваться «дырой» в системе безопасности. По мнению Люттвака, это худшая из уязвимостей, которую вообще можно представить — исследователи могли получить доступ к данным любой компании в «центральной» базе данных Azure. По его данным, проблема, названная ChaosDB, была обнаружена ещё 9 августа, а 12 августа компания сообщила о ней в Microsoft.

Источником проблемы стал инструмент визуализации Jupyter Notebook, доступный уже многие годы, но активируемый по умолчанию только с февраля текущего. Люттвак также отметил, что ключи стоит поменять даже тем пользователям, которых не оповестила Microsoft — не исключено, что к их ключам также можно было получить доступ. В Microsoft утверждают, что уже оповестили всех, кого следует.

Последняя уязвимость — только одна в череде проблем Microsoft в последние месяцы. При этом проблемы с Azure имеют особое значение, поскольку Microsoft и сторонние эксперты настоятельно рекомендуют представителям бизнеса переходить на «более безопасные» облачные сервисы, отказавшись от собственной инфраструктуры для хранения данных.