شركة مايكروسوفت تكافيء فريق شركة أمن بيانات بعد كشفها عن ( ثغرة ) مهمة
حذرت شركة مايكروسوفت Microsoft ، يوم الخميس، الآلاف من العملاء لديها، ضمن خدمة خزن البيانات الضخمة، بما في ذلك بعض أكبر الشركات في العالم، أن المتسللين يمكن أن يكون لديهم القدرة على ( قراءة ، التغيير و حتى حذف قواعد البيانات الرئيسية الخاصة بهم )، وفقا لنسخة من البريد الإلكتروني مرسلة من قبل شركة مايكروسوفت و شركة مختصة بأمن البيانات الألكترونية.
( الثغرة vulnerability ) في قاعدة بيانات ( كوزموس DB ) الخاصة بـ Microsoft Azure.
أكتشف فريق بحثي في شركة أمن البيانات الألكترونية ( ويز Wiz )، أن فريق الشركة ألامني ( كان قادراً ) على الوصول إلى ( مفاتيح التحكم ) للوصول إلى قواعد البيانات التي تحتفظ بها الآلاف من الشركات لدى خدمات شركة مايكروسوفت لخزن البيانات الضخمة.
أمي لوتواك AMI LUTTWAK ( مقره إسرائيل بحسب حساب Linkedin الخاص به )، المدير التنفيذي للتقنية في شركة ( Wiz )، كان مسؤول تقني كبير سابق في مجموعة أمن بيانات خزن البيانات الضخمة لدى شركة مايكروسوفت Microsoft.
نظرا لأن شركة مايكروسوفت Microsoft لا يمكن أن تغير هذه المفاتيح تلقائياً، فإنها قامت بإرسال رسائل عبر البريد الإلكتروني للعملاء تخبرهم بإنشاء مفاتيح تحكم جديدة.
وافقت شركة مايكروسوفت على دفع ( ٤٠,٠٠٠ ) دولار، لشركة ( Wiz ) بسبب الأبلاغ عن هذه الثغرة، وفقا للبريد الإلكتروني الذي أرسلته لشركة Wiz.
وقالت شركة مايكروسوفت لوكالة رويترز : لقد حددنا هذه المشكلة على الفور، للحفاظ على عملائنا وحمايتهم.
نشكر الباحثين الأمنيين، الذين تعاونوا معنا لكشف هذه العيوب، ضمن إتفاق كشف الثغرات.
وقالت شركة مايكروسوفت عبر البريد الإلكتروني، إلى العملاء : إنه لا يوجد دليل على إنه تم إستغلال ( الثغرة ).
” ليس لدينا أي مؤشرات على أن الكيانات الخارجية، غير باحثي شركة (Wiz) ، قد تمكنوا من الوصول إلى هذه المفاتيح “
قال أمي لوتواك
” هذه أحد أهم الثغرات التي يمكنك تخيلها لدى خدمات خزن البيانات الضخمة المتعددة الأماكن …
إنه سر أستمر لفترة طويلة … هذه هي قاعدة البيانات المركزية لتطبيق أزور Azure لشركة مايكروسوفت، وتمكنا من الوصول إلى أي قاعدة بيانات عميل أردناها “
وقال لوتواك لوكالة رويترز : إن فريق شركة Wiz، وجد المشكلة، التي أُطلق عليها اسم ( Chaosdb )، في ٩ أب / أغسطس ٢٠٢١، وأبلغنا شركة مايكروسوفت في ١٢ أب / أغسطس ٢٠٢١.
كان الخلل في أداة تسمى Jupyter Notebook، والذي كان متاحاً لسنوات، ولكن تم تمكينه افتراضياً في قاعدة بيانات كوزموس Cosmos، إعتباراً في شباط / فبراير ٢٠٢١.
بعد أن أبلغت وكالة رويترز عن العيوب، فإن شركة Wiz، قامت بتفصيل المشكلة في منشور خاص بها.
وقال أمي لوتواك : إن العملاء الذين لم يتم إخطارهم من قبل شركة مايكروسوفت، ممكن أن تُستغل هذه الثغرة من قبل المهاجمين.
قامت شركة مايكروسوفت Microsoft بإبلاغ للعملاء الذين كانت مفاتيح التحكم الخاصة ( واضحة ) لهذا الشهر، عندما كانت شركة Wiz تعمل على هذه القضية.
وقالت شركة مايكروسوفت لوكالة رويترز : إن العملاء الذين ربما يكونوا قد تأثروا تلقوا إعلاما منا.
تعتبر مشاكل تطبيق Azure مقلقة بشكل خاص، لأن شركة مايكروسوفت Microsoft وخبراء الأمن الخارجيين قد دفعوا الشركات للتخلي عن معظم البنية التحتية الخاصة بهم ( حاسبات خزن في معظمها )، للأعتماد على خدمات خزن البيانات الضخمة المتعددة الأماكن، لمزيد من الأمن.
ولكن على الرغم من أن الهجمات على هذه الخدمات، نادرة بشكل كبير، إلا أنها يمكن أن تكون أكثر تدميراً عند حدوثها.
البعض من هذه المشاكل لا يتم نشره أبداً.
لا يوجد نظام مناسب، كما في أنظمة تعقب الثغرات في البرامج والأبلاغ عنها، خاص بـ البنى التحتية لخدمات خزن البيانات الضخمة المتعددة الأماكن، لذلك لا تزال العديد منها ( الثغرات ) غير معلن عنها للمستخدمين، بحسب فريق شركة Wiz.
