Trong khoảng 2 năm, một lỗ hổng trong hệ thống cơ sở dữ liệu đám mây của Microsoft đã khiến dữ liệu của hàng nghìn khách hàng bị phơi nhiễm trước các cuộc tấn công mạng tiềm ẩn, theo công ty an ninh mạng Israel.
Theo các nhà nghiên cứu tại Wiz.io có trụ sở tại Tel Aviv, hơn 3.300 khách hàng của gã khổng lồ phần mềm Microsoft đã phát hiện ra một lỗ hổng trong sản phẩm cơ sở dữ liệu Azure Cosmos DB.
Người đồng sáng lập kiêm Giám đốc Công nghệ của Wiz, Ami Luttwak cho biết, vào ngày 9/8, trong khi quản lý bảo mật cho một số khách hàng trong danh sách Fortune 500 của chính công ty, nhóm các nhà nghiên cứu của ông đã phát hiện ra lỗ hổng bảo mật nói trên.
Trước đó vào hôm thứ Năm (ngày 27/8), Reuters đưa tin rằng Microsoft đã cảnh báo hàng nghìn khách hàng Azure của mình về lỗi bảo mật. Trong một email gửi tới khách hàng đã được Bloomberg News xem xét, công ty phần mềm đã yêu cầu các quản trị viên mạng thực hiện 4 bước để bảo vệ cơ sở dữ liệu Cosmos của họ, bao gồm cả việc tạo các khóa kỹ thuật số mới được sử dụng để truy cập an toàn vào các hệ thống đó.
Microsoft cho biết họ đã sửa lỗ hổng bảo mật. Công ty cho biết trong một tuyên bố gửi qua email: “Không có bằng chứng về việc kỹ thuật này bị lợi dụng bởi những kẻ xấu. Chúng tôi không biết về bất kỳ dữ liệu khách hàng nào bị truy cập do lỗ hổng bảo mật này”.
Các nhà nghiên cứu của Wiz phát hiện ra rằng lỗ hổng này đã tồn tại từ giữa năm 2019 khi Microsoft thêm một tính năng mới vào Cosmos DB có tên là Jupyter Notebooks. Tiện ích bổ sung này cho phép người quản lý cơ sở dữ liệu chèn các dòng mã để họ có thể trực quan hóa và tương tác với dữ liệu của mình. Tính năng này phải được người dùng bật cho đến tháng 2/2021, khi Microsoft kích hoạt Máy tính xách tay Jupyter theo mặc định.
Luttwak của Wiz nói: “Nếu tôi là khách hàng sử dụng cơ sở dữ liệu đám mây, nỗi sợ hãi lớn nhất của tôi là ai đó truy cập vào dữ liệu của tôi mà tôi không biết. Và đó là những gì lỗ hổng này sẽ gây ra, nếu không được sửa chữa”.
Cosmos DB hiện đang cung cấp cho các khách hàng bao gồm Exxon Mobil, Coca-Cola và Citrix Systems, theo trang web của Microsoft cho dịch vụ.
Văn Thiện
