Fout in Azure liet data twee jaar kwetsbaar voor hackers

Het probleem werd twee weken geleden ontdekt door beveiligingsbedrijf Wiz. Volgens het bedrijf konden onderzoekers via de fout toegang krijgen tot de primaire sleutels die de Cosmos DB-databases van Microsoft-klanten beveiligden, schrijft The Verge. Met die sleutels had Wiz naar eigen zeggen de mogelijkheid om de data van duizenden Azure-klanten te lezen, aan te passen en te verwijderen. In totaal werden 3.300 Azure-klanten geraakt, waaronder Coca Cola, Walgreens en ExxonMobil.

Handmatig aanpassen

"Dit is de ergste cloudkwetsbaarheid die je je voor kunt stellen", zegt Ami Luttwak, CTO van Wiz, tegenover The Verge. "Dit is de centrale database van Azure en we konden toegang krijgen tot iedere klantdatabase die we wilden." Wiz meldde het probleem bij Microsoft, die het probleem binnen 48 uur verholp. Maar Microsoft kan de primaire toegangssleutels van de klanten niet veranderen. Daarom heeft Microsoft contact opgenomen met Cosmos DB-klanten, om hen te vragen de sleutels met de hand aan te passen. 

Vooralsnog zijn er geen signalen dat er ook daadwerkelijk misbruik is gemaakt van de kwetsbaarheid, aldus Microsoft tegenover Bloomberg.