مایکروسافت به هزاران مشتری رایانش ابری Azure خود، از جمله بسیاری از شرکت های Fortune 500، در مورد آسیب پذیری ای که داده های آنها را در دو سال گذشته کاملاً در معرض دید قرار داده، هشدار داده است. این آسیب پذیری در پایگاه داده Azure Cosmos DB مایکروسافت بیش از 3300 مشتری آژور را برای دسترسی بدون محدودیت مهاجمان باز گذاشته است.
تیم تحقیقاتی شرکت امنیتی “ویز” کشف کرده که این آسیب پذیری می تواند امکان دسترسی به کلیدهایی را فراهم کند که دسترسی به دیتابیس های هزاران شرکت را کنترل می کنند. ایمی لوتواک، مدیر فناوری شرکت “ویز”، مدیر فناوری سابق گروه امنیتی ابری مایکروسافت است. به دلیل این که مایکروسافت خود نمی تواند این کلیدها را تغییر دهد، در ایمیلی به مشتریانش از آنها خواست کلیدهای جدیدی ایجاد کنند. مایکروسافت موافقت کرد به “ویز” 40 هزار دلار برای یافتن این حفره امنیتی و گزارش آن به مایکروسافت پرداخت کند.
مایکروسافت به رویترز اعلام کرد ما این آسیب پذیری را به سرعت ترمیم کردیم تا مشتریانمان را در امنیت نگه داریم. از محققان امنیتی برای همکاری بر اساس افشای هماهنگ شده آسیب پذیری متشکریم. در ایمیل مایکروسافت به مشتریانش اعلام شد که هیچ شواهدی از مورد بهره برداری قرار گرفتن این آسیب پذیری وجود ندارد. شرکت مذکور در 9 آگوست شکاف امنیتی ChaosDB را ردیابی کرد و مایکروسافت نیز در 12 آگوست ایمیلی به مشتریانش فرستاد.