Sicherheitslücke in Azure legt Daten von 3300 Unternehmen offen

Sicherheitslücke in Azure legt Daten von 3300 Unternehmen offen

(Quelle: Wiz Research)
30. August 2021 - Eine massive Sicherheitslücke in der Cosmos DB auf Azure machte die Daten von tausenden, teils riesigen Unternehmen während zwei Jahren zugänglich. Ausgenutzt wurde die Lücke angeblich aber nicht.
In der Microsoft-Cloud Azure klaffte jahrelang eine gewaltige Sicherheitslücke, die 3300 Unternehmen weltweit betrifft – darunter einige aus den Fortune 500 wie beispielsweise Coca Cola oder Exxon Mobil. Die Lücke führte dazu, dass die Daten der Betroffenen Firmen im Prinzip seit zwei Jahren offen zugänglich waren. Entdeckt wurde die Lücke von der Sicherheitsfirma Wiz, die in einem umfangreichen Blogbeitrag den ganzen Fall erklärt (via "The Verge"), der CTO von Wiz spricht gegenüber "The Verge" von der "schlimmsten Cloud-Schwachstelle, die man sich vorstellen kann".

Der Fehler findet sich im Virtualisierungs-Feature Jupyter Notebook in der Cosmos DB auf Azure und existiert seit 2019. Seit Februar 2021 wurde Jupyter Notebook gar für alle Cosmos-DB-Kunden per Default aktiviert. Den Whitehat-Hackern von Wiz ist es damit gelungen, den Primary Read-Write-Key der Datenbank zu erhalten, womit im Prinzip der volle Read-Write-Zugriff auf die Daten gewährleistet wird. Microsoft hat zuvor eine Warnung von Wiz bekommen und die Lücke innerhalb von zwei Tage geschlossen. Wiz hat für die Entdeckung eine Prämie von 40'000 US-Dollar kassiert. Microsoft zufolge sei bisher kein Zugriff ausser dem von Wiz auf die Unternehmensdaten erfolgt.

Sowohl Wiz als auch Microsoft haben weitere Beiträge mit allfälligen Massnahmen und Erklärungen zur Sicherheitslücke gepostet, die hier und hier zu finden sind. (win)

Neuen Kommentar erfassen

Anti-Spam-Frage Wie hiess im Märchen die Schwester von Hänsel?
Antwort
Name
E-Mail
GOLD SPONSOREN
SPONSOREN & PARTNER