Nieuwe datalek: Microsoft waarschuwt duizenden cloudklanten voor blootgestelde databases

Techreus Microsoft heeft donderdag duizenden van zijn cloud computing-klanten, waaronder enkele van ’s werelds grootste bedrijven, via email gewaarschuwd over een mogelijke inbreuk op hun privacy. Hackers of andere digitale indringers zouden de mogelijkheid hebben gehad om hun belangrijkste databases te bekijken, te wijzigen of zelfs te verwijderen.

Waarom is dit belangrijk?

Deze onthulling volgt op maanden van slecht beveiligingsnieuws voor Microsoft. Het bedrijf werd gehackt door dezelfde - vermoedelijk - Russische cybercriminelen die een hoofdrol speelden bij de hackaanval op SolarWinds, een Amerikaanse softwaremaker. Uit die criminele operatie resulteerde dat verschillende Amerikaanse overheidsinstanties maandenlang met spionagesoftware waren opgezadeld.

De kwetsbaarheid zit in de Cosmos-database van Microsoft Azure’s cloud computing-platform. Dat bericht persbureau Reuters, met als bron een kopie van de email en een cyberbeveiligingsonderzoeker.

Het onderzoeksteam van beveiligingsbedrijf Wiz ontdekte dat het de sleutels kon bemachtigen die de toegang controleren tot databases van duizenden bedrijven. De chief technology officer van Wiz, Ami Luttwak, is een voormalig CTO bij Microsofts Cloud Security Group.

Omdat Microsoft deze sleutels niet zelf kan wijzigen, stuurde het de klanten donderdag een e-mail met de boodschap dat ze nieuwe sleutels moesten aanmaken. Microsoft stemde ermee in Wiz 40.000 dollar te betalen voor het vinden van de fout en het melden ervan, aldus een email die het naar Wiz stuurde.

“We hebben dit probleem onmiddellijk opgelost om onze klanten veilig en beschermd te houden. We bedanken de beveiligingsonderzoekers voor het werken onder gecoördineerde openbaarmaking van de kwetsbaarheid”, vertelde Microsoft aan Reuters.

Lek niet uitgebuit

In de e-mail van Microsoft aan klanten stond dat er geen aanwijzingen waren dat het lek was uitgebuit. “We hebben geen aanwijzingen dat externe entiteiten buiten de onderzoeker (Wiz) toegang hadden tot de primaire read-write key”, aldus de e-mail.

“Dit is de ergste kwetsbaarheid in de cloud die je je kunt voorstellen. Het is een geheim van lange duur”, stipt Luttwak aan. “Dit is de centrale database van Azure, en we waren in staat om toegang te krijgen tot elke klantendatabase die we wilden.”

Luttwaks team ontdekte het probleem, dat de naam ChaosDB kreeg, op 9 augustus en bracht Microsoft op 12 augustus op de hoogte.

Visualietool

De fout zat in een visualisatietool genaamd Jupyter Notebook, dat al jaren beschikbaar is, maar sinds februari standaard was ingeschakeld in de Cosmos-database.

Microsoft vertelde Reuters dat “klanten die mogelijk zijn beïnvloed een kennisgeving van ons hebben ontvangen”, zonder verder uit te wijden.

Luttwak meent dat zelfs de klanten die niet door Microsoft op de hoogte waren gebracht, het recht hadden bezorgd te zijn over hun sleutels.

Verontrustend

De problemen met Azure zijn vooral verontrustend omdat Microsoft en externe beveiligingsdeskundigen bedrijven ertoe hebben aangezet hun eigen infrastructuur grotendeels op te geven en voor meer veiligheid te vertrouwen op de cloud.

Maar hoewel cloudaanvallen zeldzamer zijn, kan hun nasleep verwoestender blijken dan andere hackoperaties. Overigens worden sommige cloudaanvallen nooit openbaar gemaakt.

Een door de overheid ingehuurd onderzoekslaboratorium houdt alle bekende beveiligingslekken in software bij en rangschikt ze naar ernst. Maar er is geen vergelijkbaar systeem voor gaten in cloudarchitectuur, dus veel kritieke kwetsbaarheden blijven voor gebruikers verborgen, aldus nog Luttwak.

(am)

Lees ook:

Meer
Lees meer...