Microsoft database expose: माइक्रोसॉफ्ट ने दुनिया की कुछ बड़ी कंपनियों सहित अपने हजारों क्लाउड कंप्यूटिंग ग्राहकों के लिए चेतावनी जारी की है. इस चेतावनी में कहा गया है कि घुसपैठिए मुख्य डेटाबेस को पढ़, बदल और यहां तक कि डिलीट भी कर सकते हैं इसलिए वो अपनी की (Key) को बदल लें. न्यूज एजेंसी रॉयटर्स ने ईमेल की एक कॉपी और एक साइबर सिक्योरिटी रिसर्चर के हवाले से ये जानकारी दी है.
वल्नेरेबिलिटी (भेद्यता) माइक्रोसॉफ्ट एज्यूर (Microsoft Azure) के प्रमुख कॉसमॉस डीबी (Cosmos DB) डेटाबेस में थी. सिक्योरिटी कंपनी विज़ (Wiz) की एक रिसर्च टीम ने पाया कि वह उन कीज़ (Keys) तक पहुंचने में सक्षम है जो हज़ारों कंपनियों के रखे गए डेटाबेस तक पहुंच को कंट्रोल करती हैं.
Wiz के चीफ टेक्नोलॉजी ऑफिसर अमी लुटवाक (Ami Luttwak) Microsoft के क्लाउड सिक्योरिटी ग्रुप में पूर्व में चीफ टेक्नोलॉजी ऑफिसर रह चुके हैं.
चूंकि माइक्रोसॉफ्ट उन कीज़ को खुद नहीं बदल सकता, इसलिए उसने गुरुवार को ग्राहकों को ईमेल कर नई की बनाने के लिए कहा. वहीं Wiz को भेजे गए एक ईमेल के अनुसार, दोष (flaw) का पता लगाने और उसकी रिपोर्ट करने के लिए Microsoft ने Wiz को $40,000 का भुगतान करने पर सहमति व्यक्त की है.
माइक्रोसॉफ्ट ने रॉयटर्स से कहा, ‘हमने अपने ग्राहकों को सुरक्षित रखने के लिए वल्नेरेबिलिटी को तुरंत ठीक कर दिया. हम सिक्योरिटी रिसर्चर्स को इसके लिए धन्यवाद देते हैं.’
ग्राहकों को Microsoft के ईमेल में कहा गया है कि वल्नेरेबिलिटी को ठीक कर दिया है और इस बात का कोई सबूत नहीं है कि इस फ्लॉ का फायदा उठाया गया था.
रॉयटर्स के देखे गए ईमेल की एक कॉपी के अनुसार, ‘हमें इस बात का कोई संकेत नहीं मिला है कि रिसर्चर (विज़) के अलावा बाहरी संस्थाओं की प्राइमरी रीड-राइट key तक पहुंच थी.
लुटवाक ने रॉयटर्स को बताया, ‘यह सबसे खराब क्लाउड वल्नेरेबिलिटी है जिसकी आप कल्पना कर सकते हैं.’
लुटवाक की टीम ने 9 अगस्त को इस समस्या का पता लगाया था और 12 अगस्त को माइक्रोसॉफ्ट को सूचित किया था. फ्लॉ ज्यूपिटर (Jupyter) नोटबुक नामक एक विज़ुअलाइज़ेशन टूल में था, जो वर्षों से उपलब्ध है.
लेकिन फरवरी में कॉसमॉस में डिफ़ॉल्ट रूप से इनेबल हो गया था. रॉयटर्स के इस फ्लॉ को रिपोर्ट के बाद, विज़ ने एक ब्लॉग पोस्ट में इस मुद्दे पर विस्तृत रूप से जानकारी दी.
लुटवाक ने कहा कि जिन ग्राहकों को माइक्रोसॉफ्ट की ओर से ईमेल नहीं किया गया है उनका भी डेटा खतरे में था. Microsoft ने केवल उन ग्राहकों को इस बारे में नोटिफाई किया जिनकी Key इस महीने विजिबल थीं, जब Wiz इस मुद्दे पर काम कर रहा था.
इसे लेकर Microsoft ने रॉयटर्स को विस्तार से जानकारी तो नहीं दी, लेकिन इतना जरूर बताया कि ‘जो ग्राहक इस समस्या से प्रभावित थे, उन्हें हमारी ओर से नोटिफाई किया गया है.’