Microsoft हज़ारों क्लाउड ग्राहकों को खुले डेटाबेस के बारे में चेतावनी देता है

भेद्यता Microsoft Azure के प्रमुख Cosmos DB डेटाबेस में है। सुरक्षा कंपनी विज़ की एक शोध टीम ने पाया कि यह उन कुंजियों तक पहुँचने में सक्षम है जो हज़ारों कंपनियों द्वारा रखे गए डेटाबेस तक पहुँच को नियंत्रित करती हैं।

सैन फ्रांसिस्को: माइक्रोसॉफ्ट ने गुरुवार को अपने हजारों क्लाउड कंप्यूटिंग ग्राहकों को चेतावनी दी, जिसमें दुनिया की कुछ सबसे बड़ी कंपनियां भी शामिल हैं, कि घुसपैठिए ईमेल की एक प्रति और एक साइबर सुरक्षा के अनुसार अपने मुख्य डेटाबेस को पढ़ने, बदलने या यहां तक ​​कि हटाने की क्षमता भी रख सकते हैं। शोधकर्ता।

भेद्यता Microsoft Azure के प्रमुख Cosmos DB डेटाबेस में है। सुरक्षा कंपनी विज़ की एक शोध टीम ने पाया कि यह उन कुंजियों तक पहुँचने में सक्षम है जो हज़ारों कंपनियों द्वारा रखे गए डेटाबेस तक पहुँच को नियंत्रित करती हैं। Wiz के मुख्य प्रौद्योगिकी अधिकारी अमी लुटवाक Microsoft के क्लाउड सुरक्षा समूह में पूर्व मुख्य प्रौद्योगिकी अधिकारी हैं।

चूंकि माइक्रोसॉफ्ट उन चाबियों को स्वयं नहीं बदल सकता है, इसलिए उसने गुरुवार को ग्राहकों को ईमेल करके उन्हें नई बनाने के लिए कहा। Microsoft ने Wiz को भेजे गए एक ईमेल के अनुसार, दोष का पता लगाने और उसकी रिपोर्ट करने के लिए Wiz को $40,000 का भुगतान करने पर सहमति व्यक्त की।

माइक्रोसॉफ्ट ने रॉयटर्स को बताया, “हमने अपने ग्राहकों को सुरक्षित और संरक्षित रखने के लिए इस मुद्दे को तुरंत ठीक कर दिया। हम समन्वित भेद्यता प्रकटीकरण के तहत काम करने के लिए सुरक्षा शोधकर्ताओं को धन्यवाद देते हैं।”
ग्राहकों को Microsoft के ईमेल में कहा गया है कि इस बात का कोई सबूत नहीं है कि दोष का फायदा उठाया गया था। ईमेल में कहा गया है, “हमारे पास इस बात का कोई संकेत नहीं है कि शोधकर्ता (विज़) के बाहर की बाहरी संस्थाओं की प्राथमिक रीड-राइट कुंजी तक पहुंच थी।”

“यह सबसे खराब क्लाउड भेद्यता है जिसकी आप कल्पना कर सकते हैं। यह एक लंबे समय तक चलने वाला रहस्य है, ”लुटवाक ने रायटर को बताया। “यह Azure का केंद्रीय डेटाबेस है, और हम किसी भी ग्राहक डेटाबेस तक पहुंच प्राप्त करने में सक्षम थे जो हम चाहते थे।”
लुटवाक की टीम ने 9 अगस्त को कैओसडीबी नामक समस्या का पता लगाया और 12 अगस्त को माइक्रोसॉफ्ट को सूचित किया, लुटवाक ने कहा।

दोष ज्यूपिटर नोटबुक नामक एक विज़ुअलाइज़ेशन टूल में था, जो वर्षों से उपलब्ध है, लेकिन फरवरी में शुरू होने वाले कॉसमॉस में डिफ़ॉल्ट रूप से सक्षम किया गया था। रॉयटर्स द्वारा दोष की रिपोर्ट के बाद, विज़ ने एक ब्लॉग पोस्ट में इस मुद्दे को विस्तृत किया।

लुटवाक ने कहा कि जिन ग्राहकों को माइक्रोसॉफ्ट द्वारा अधिसूचित नहीं किया गया है, वे भी हमलावरों द्वारा अपनी चाबियों को स्वाइप कर सकते थे, जब तक कि उन चाबियों को बदल नहीं दिया जाता। Microsoft ने केवल उन ग्राहकों को बताया जिनकी चाबियां इस महीने दिखाई दे रही थीं, जब Wiz इस मुद्दे पर काम कर रहा था।

Microsoft ने रायटर को बताया कि “जिन ग्राहकों को प्रभावित किया गया है, उन्हें हमारी ओर से एक सूचना प्राप्त हुई है,” बिना विस्तार के।

Microsoft के लिए महीनों की खराब सुरक्षा समाचार के बाद यह खुलासा हुआ है। कंपनी को उसी संदिग्ध रूसी सरकार के हैकर्स ने भंग कर दिया था जो सोलरविंड्स में घुसपैठ कर रहे थे, जिन्होंने माइक्रोसॉफ्ट सोर्स कोड चुरा लिया था। जब एक पैच विकसित किया जा रहा था तब बड़ी संख्या में हैकर्स ने एक्सचेंज ईमेल सर्वर में सेंध लगाई।

कंप्यूटर अधिग्रहण की अनुमति देने वाले प्रिंटर दोष के लिए हाल ही में एक सुधार को बार-बार फिर से करना पड़ा। पिछले हफ्ते एक और एक्सचेंज दोष ने एक तत्काल अमेरिकी सरकार को चेतावनी दी कि ग्राहकों को महीनों पहले जारी किए गए पैच स्थापित करने की आवश्यकता है क्योंकि रैंसमवेयर गिरोह अब इसका फायदा उठा रहे हैं।

Azure के साथ समस्याएं विशेष रूप से परेशान कर रही हैं, क्योंकि Microsoft और बाहरी सुरक्षा विशेषज्ञ कंपनियों को अपने अधिकांश बुनियादी ढांचे को छोड़ने और अधिक सुरक्षा के लिए क्लाउड पर भरोसा करने के लिए प्रेरित कर रहे हैं।
लेकिन हालांकि बादल हमले अधिक दुर्लभ हैं, लेकिन जब वे होते हैं तो वे अधिक विनाशकारी हो सकते हैं। क्या अधिक है, कुछ को कभी प्रचारित नहीं किया जाता है।

एक संघ अनुबंधित अनुसंधान प्रयोगशाला सॉफ्टवेयर में सभी ज्ञात सुरक्षा खामियों को ट्रैक करती है और उन्हें गंभीरता से रेट करती है। लेकिन क्लाउड आर्किटेक्चर में छेद के लिए कोई समान प्रणाली नहीं है, इसलिए उपयोगकर्ताओं के लिए कई महत्वपूर्ण कमजोरियां अनजान रहती हैं, लुटवाक ने कहा।

STORY BY -: indiatoday.in

यह भी पढ़ें…Xiaomi Mi TV 5X डॉल्बी विजन को कम कीमत में लाकर कुछ नया मुकाम हासिल कर रहा है

Leave a Reply

Your email address will not be published. Required fields are marked *