微軟承認(rèn)Azure Cosmos數(shù)據(jù)庫漏洞：已持續(xù)兩年，波及3000多客戶

IT之家 8月28日消息 據(jù)外媒mspoweruser消息，微軟近日向超過3000名客戶發(fā)出通知，稱Azure Cosmos數(shù)據(jù)庫的一項(xiàng)漏洞已經(jīng)存在了超過2年，在這期間，黑客有可能讀取、刪除、修改存放在Azure Cosmos數(shù)據(jù)庫的信息，建議客戶進(jìn)行檢查。這一服務(wù)的客戶包括埃森克美孚、可口可樂、賽門鐵克、蔡司等知名公司。

圖片來自mspoweruser

這個(gè)漏洞被稱作“ChaosDB”，由安全公司W(wǎng)iz發(fā)現(xiàn)，具體來看包含一系列包含在Cosmos數(shù)據(jù)庫安裝過程中，自動(dòng)打開Jupiter Notebook可視化特性的錯(cuò)誤配置。

IT之家了解到，盡管微軟表示遷移到Azure云服務(wù)器可以讓公司的數(shù)據(jù)更加安全，但是本次漏洞還是十分嚴(yán)重的。微軟于8月12日知道了這一漏洞，并在14日之前設(shè)法修復(fù)了問題。幸運(yùn)的是，目前沒有證據(jù)表明該漏洞已經(jīng)被利用。

第三方安全公司W(wǎng)iz建議所有使用Cosmos數(shù)據(jù)庫的公司更換密鑰。由于首先發(fā)現(xiàn)了這一重大漏洞，微軟獎(jiǎng)勵(lì)了Wiz公司4萬美元。