हजारों क्लाउड कस्टमर्स को माइक्रोसॉफ्ट ने दी चेतावनी, तुरंत कर लें ये काम
Microsoft database expose: माइक्रोसॉफ्ट का फ्लॉ आया सामने, हजारों क्लाउड कस्टमर्स का डेटा एक्सपोज होने के बाद कंपनी ने key बदलने को कहा
घुसपैठिए मुख्य डेटाबेस को पढ़, बदल और यहां तक कि डिलीट भी कर सकते हैं इसलिए वो अपनी की (Key) को बदल लें. न्यूज एजेंसी रॉयटर्स ने ईमेल की एक कॉपी और एक साइबर सिक्योरिटी रिसर्चर के हवाले से ये जानकारी दी है.
Microsoft database expose: माइक्रोसॉफ्ट ने दुनिया की कुछ बड़ी कंपनियों सहित अपने हजारों क्लाउड कंप्यूटिंग ग्राहकों के लिए चेतावनी जारी की है. इस चेतावनी में कहा गया है कि घुसपैठिए मुख्य डेटाबेस को पढ़, बदल और यहां तक कि डिलीट भी कर सकते हैं इसलिए वो अपनी की (Key) को बदल लें. न्यूज एजेंसी रॉयटर्स ने ईमेल की एक कॉपी और एक साइबर सिक्योरिटी रिसर्चर के हवाले से ये जानकारी दी है.
कॉसमॉस डीबी डेटाबेस में थी समस्या
वल्नेरेबिलिटी (भेद्यता) माइक्रोसॉफ्ट एज्यूर (Microsoft Azure) के प्रमुख कॉसमॉस डीबी (Cosmos DB) डेटाबेस में थी. सिक्योरिटी कंपनी विज़ (Wiz) की एक रिसर्च टीम ने पाया कि वह उन कीज़ (Keys) तक पहुंचने में सक्षम है जो हज़ारों कंपनियों के रखे गए डेटाबेस तक पहुंच को कंट्रोल करती हैं.
Wiz के चीफ टेक्नोलॉजी ऑफिसर अमी लुटवाक (Ami Luttwak) Microsoft के क्लाउड सिक्योरिटी ग्रुप में पूर्व में चीफ टेक्नोलॉजी ऑफिसर रह चुके हैं.
ग्राहकों को ईमेल कर दी जानकारी
चूंकि माइक्रोसॉफ्ट उन कीज़ को खुद नहीं बदल सकता, इसलिए उसने गुरुवार को ग्राहकों को ईमेल कर नई की बनाने के लिए कहा. वहीं Wiz को भेजे गए एक ईमेल के अनुसार, दोष (flaw) का पता लगाने और उसकी रिपोर्ट करने के लिए Microsoft ने Wiz को $40,000 का भुगतान करने पर सहमति व्यक्त की है.
माइक्रोसॉफ्ट ने रॉयटर्स से कहा, ‘हमने अपने ग्राहकों को सुरक्षित रखने के लिए वल्नेरेबिलिटी को तुरंत ठीक कर दिया. हम सिक्योरिटी रिसर्चर्स को इसके लिए धन्यवाद देते हैं.’
क्या कहा गया है ईमेल में?
ग्राहकों को Microsoft के ईमेल में कहा गया है कि वल्नेरेबिलिटी को ठीक कर दिया है और इस बात का कोई सबूत नहीं है कि इस फ्लॉ का फायदा उठाया गया था.
रॉयटर्स के देखे गए ईमेल की एक कॉपी के अनुसार, ‘हमें इस बात का कोई संकेत नहीं मिला है कि रिसर्चर (विज़) के अलावा बाहरी संस्थाओं की प्राइमरी रीड-राइट key तक पहुंच थी.
लुटवाक ने रॉयटर्स को बताया, ‘यह सबसे खराब क्लाउड वल्नेरेबिलिटी है जिसकी आप कल्पना कर सकते हैं.’
9 अगस्त को समस्या का पता लगाया
लुटवाक की टीम ने 9 अगस्त को इस समस्या का पता लगाया था और 12 अगस्त को माइक्रोसॉफ्ट को सूचित किया था. फ्लॉ ज्यूपिटर (Jupyter) नोटबुक नामक एक विज़ुअलाइज़ेशन टूल में था, जो वर्षों से उपलब्ध है.
लेकिन फरवरी में कॉसमॉस में डिफ़ॉल्ट रूप से इनेबल हो गया था. रॉयटर्स के इस फ्लॉ को रिपोर्ट के बाद, विज़ ने एक ब्लॉग पोस्ट में इस मुद्दे पर विस्तृत रूप से जानकारी दी.
सभी ग्राहकों को माइक्रोसॉफ्ट ने नहीं किया नोटिफाई
लुटवाक ने कहा कि जिन ग्राहकों को माइक्रोसॉफ्ट की ओर से ईमेल नहीं किया गया है उनका भी डेटा खतरे में था. Microsoft ने केवल उन ग्राहकों को इस बारे में नोटिफाई किया जिनकी Key इस महीने विजिबल थीं, जब Wiz इस मुद्दे पर काम कर रहा था.
इसे लेकर Microsoft ने रॉयटर्स को विस्तार से जानकारी तो नहीं दी, लेकिन इतना जरूर बताया कि ‘जो ग्राहक इस समस्या से प्रभावित थे, उन्हें हमारी ओर से नोटिफाई किया गया है.’