Ditulis oleh Joseph Min

(Reuters) – Para peneliti yang menemukan kelemahan besar dalam basis data utama yang disimpan di platform cloud Azure Microsoft pada Sabtu mendesak semua pengguna untuk mengubah kunci akses digital mereka, bukan hanya 3.300 yang diberitahukan kepada mereka minggu ini.

Seperti yang pertama kali dilaporkan oleh Reuters https://www.reuters.com/technology/exclusive-microsoft-warns-thousands-cloud-customers-exposed-databases-emails-2021-08-26, peneliti di perusahaan keamanan cloud bernama Wiz menemukan Sebulan ini mereka memiliki akses ke kunci numerik utama dari sebagian besar pengguna Cosmos DB, memungkinkan mereka untuk mencuri, mengubah, atau menghapus jutaan catatan.

Mengikuti peringatan dari Wiz, Microsoft dengan cepat memperbaiki bug konfigurasi yang akan memudahkan setiap pengguna Cosmos untuk mengakses basis data klien lain, kemudian beberapa pengguna pada hari Kamis melaporkan mengubah kunci mereka.

Dalam sebuah posting blog pada hari Jumat, Microsoft mengatakan telah memperingatkan pelanggan yang mengatur akses ke Cosmos selama periode penelitian selama seminggu. Disebutkan bahwa tidak menemukan bukti bahwa penyerang menggunakan kelemahan yang sama untuk mengakses data pelanggan.

“Penyelidikan kami menunjukkan bahwa tidak ada akses tidak sah selain aktivitas peneliti,” tulis Microsoft. “Pemberitahuan telah dikirim ke semua klien yang berpotensi terpengaruh oleh aktivitas peneliti,” katanya, mungkin merujuk pada kemungkinan kebocoran teknologi dari Wiz.

“Meskipun Anda tidak memiliki akses ke data pelanggan, ada baiknya Anda membuat ulang kunci baca-tulis dasar Anda,” katanya.

Badan Keamanan Siber dan Keamanan Infrastruktur Departemen Keamanan Dalam Negeri AS menggunakan bahasa yang lebih keras dalam buletin Jumatnya, menjelaskan bahwa mereka tidak hanya berbicara kepada mereka yang telah diberi tahu.

Badan tersebut mengatakan https://us-cert.cisa.gov/ncas/current-activity/2021/08/27/microsoft-azure-cosmos-db bimbingan.

Para ahli di Wiz, yang didirikan oleh empat veteran Tim Keamanan Internal Azure, setuju.

“Menurut perkiraan saya, sangat sulit, jika bukan tidak mungkin, bagi mereka untuk sepenuhnya mengesampingkan bahwa seseorang telah menggunakan ini sebelumnya,” kata salah satu dari empat, Amy Luttwak, chief technology officer Wiz. Di Microsoft, ia mengembangkan alat untuk mencatat insiden keamanan cloud.

Microsoft tidak memberikan jawaban langsung ketika ditanya apakah memiliki catatan ekstensif selama dua tahun ketika fitur Notebook Jupyter salah dikonfigurasi, atau menggunakan metode lain untuk mengesampingkan penyalahgunaan akses.

“Kami telah memperluas pencarian kami di luar kegiatan peneliti untuk mencari semua kemungkinan kegiatan peristiwa saat ini dan sejenisnya di masa lalu,” kata juru bicara Ross Rechinderveer, menolak menjawab pertanyaan lain.

Wiese mengatakan Microsoft bekerja sama dengannya dalam penelitian tetapi menolak untuk mengatakan bagaimana hal itu memastikan keamanan pelanggan sebelumnya.

“Mengerikan,” kata salah satu peneliti utama proyek di Wiz, Sagi Tzadik. “Saya sangat berharap tidak ada orang selain kita yang dapat menemukan bug ini.”

(Laporan oleh Joseph Maine di San Francisco; Disunting oleh Richard Chang)