Microsoft Azure’daki büyük güvenlik açığını tespit eden eden güvenlik firması bu hatayı “hayal edebileceğiniz en kötü bulut güvenlik açığı” olarak tanımladı. Microsoft, yaptığı açıklamada güvenlik açığının kötü niyetli amaçlarla kullanımının tespit edilemediğini belirtti.
Güvenlik açığını bulan şirket, Azure veritabanında bulunan içerikleri görüntülemenin yanında düzenleme ve silme gibi işlemleri de gerçekleştirebildi.
Sistem hatasını bulan Wiz güvenlik firması, birçok şirketin veritabanlarının erişimini kontrol eden anahtarlara erişim sağladı. Wiz Baş Teknoloji Sorumlusu Ami Luttwak, Microsoft’un güvenlik grubu içerisinde çalışan eski bir yöneticiydi. Bundan dolayı Microsoft’daki hataları yakalayabilmek için avantajlı bir konuma sahipti.
Azure’daki büyük güvenlik açığının sebebi nedir?
Cosmos veri tabanına ulaşmak için önce güvenlik firması müşteri veri tabanının birincil anahtarlarına erişim sağladı. Unutulmamalıdır ki 2019 yılında Microsoft, Cosmos veri tabanına Jupyter Notebook adlı bir özelliği ekleyerek müşterilerin verilerini görselleştirmelerine ve özel görünümler oluşturmalarına olanak sağlamıştı. Özellik, Şubat 2021’de tüm Cosmos veritabanları için otomatik olarak etkinleştirildi.
Wiz, Cosmos veritabanını kullanan şirketlerden bazılarının Coca-Cola, Exxon-Mobil ve Citrix gibi devler olduğunu vurguluyor.
Microsoft’dan uyarı e-postası
Microsoft bu anahtarları kendisi değiştiremediği için Perşembe günü müşterilere yenilerini oluşturmalarını söyleyen bir e-posta gönderdi. Microsoft, hatayı bulduğu ve bildirdiği için Wiz’e 40.000 dolar ödemeyi kabul etti. Microsoft yetkilileri, güvenlik sorunu hakkında daha fazla yorum yapmadı.
Microsoft’un Wiz’e gönderdiği bir e-postada şirket, güvenlik açığını giderdiğini ve hatanın kötüye kullanıldığını gösteren hiçbir kanıt bulunmadığını söyledi. E-posta, “Araştırmacının (Wiz) dışındaki harici varlıkların birincil okuma-yazma anahtarına erişimi olduğuna dair hiçbir belirtimiz yok” ifadelerini kullandı.
Ami Luttfak, “Bu, hayal edebileceğiniz en kötü bulut güvenlik açığı. Azure’un merkezi veritabanına ve istediğimiz herhangi bir müşteri veritabanına erişebildik” açıklamalarında bulundu.
