微软发邮件警告云服务用户：数据库或被暴露

8月27日消息：在本周四，微软向数千名云计算客户发送一封电子邮件警告大家，入侵者可能有能力阅读、修改甚至是删除主要数据库，而该漏洞为一名网络安全研究员发现，并告知微软公司。

此漏洞出现在Microsoft Azure的Cosmos数据库中。安全公司Wiz的一个研究小组发现，它可以访问控制对数千家公司持有的数据库的访问的密钥。Wiz 公司首席技术官阿米・卢特瓦克（Ami Luttwak）是前首席技术官微软云安全组。

由于微软无法自行更改这些密钥，该公司周四向其客户发送了一封电子邮件，通知他们将创建一个新密钥。微软发送给Wiz的电子邮件显示，微软同意向Wiz支付40,000美元，以奖励其发现并报告漏洞。

微软发言人拒绝立即就此事置评。

微软在给客户的一封电子邮件中写道，他们已经修复了该漏洞，没有证据表明该漏洞已被利用。该公司写道: “除了研究人员 (Wiz) 之外，没有任何迹象表明外部实体可以访问主要的读写密钥。”

卢特瓦克说: “这是你能想象到的最糟糕的云计算服务漏洞。这是一个长期存在的秘密。这是Azure的中央数据库，我们可以访问我们想要的任何客户的数据库。”

卢特瓦克透露，他的团队于8月9日发现了名为ChaosDB的漏洞，并于8月12日向微软报告了该问题。

几个月前，微软刚刚遇到了一个与安全相关的坏消息。该公司涉嫌被俄罗斯黑客入侵，他们窃取了一些微软源代码。不久前，微软还解决了一个允许计算机被打印机接管的问题。上周，Exchange中的一个电子邮件缺陷引发了美国政府的紧急警告，即客户需要安装几个月前发布的补丁，因为勒索软件团伙现在正在利用这一缺陷。