Dữ liệu của hàng nghìn doanh nghiệp có thể bị khai thác qua một lỗ hổng mới phát hiện trên dịch vụ đám mây Azure do Microsoft phát triển.

Microsoft vá lỗ hổng trong 48 giờ từ khi được thông báo /// Ảnh: AFP
Microsoft vá lỗ hổng trong 48 giờ từ khi được thông báo

Microsoft vừa gửi cảnh báo tới các khách hàng đang sử dụng dịch vụ điện toán đám mây Azure do hãng cung cấp, trong đó không ít doanh nghiệp thuộc Top 500 thế giới. Cảnh báo này đề cập tới một lỗ hổng có thể khiến dữ liệu của họ bị lộ trong 2 năm qua.

Theo TheVerge, lỗi trong sản phẩm cơ sở dữ liệu Azure Cosmos DB của Microsoft tạo cơ hội để tin tặc truy cập không giới hạn vào dữ liệu của hơn 3.300 doanh nghiệp. Lỗ hổng bắt đầu từ năm 2019 khi Microsoft thêm tính năng hiển thị dữ liệu mang tên Jupyter Notebook vào Cosmos DB. Tính năng này được bật tự động cho mọi Cosmos DB từ tháng 2.2021.

Trong danh sách khách hàng sử dụng Azure Cosmos DB có những cái tên nổi tiếng như thương hiệu nước giải khát Coca Cola, hãng bảo hiểm Liberty Mutual Insurance, xăng dầu ExxonMobil…

“Đây là lỗ hổng trên dịch vụ đám mây tệ hại nhất mà bạn có thể tưởng tượng tới. Trung tâm cơ sở dữ liệu của Azure để mở và chúng tôi có thể truy cập vào thông tin của bất kỳ khách hàng nào mình muốn”, Ami Luttwak – Giám đốc công nghệ của Wiz nói. Wiz là hãng bảo mật đã phát hiện vấn đề nói trên.

Dù sự cố được đánh giá nghiêm trọng và rủi ro, Microsoft cho biết chưa tìm thấy bằng chứng cho thấy lỗ hổng đã bị khai thác để truy cập vào cơ sở dữ liệu. “Chưa có bằng chứng cho thấy lỗ hổng này bị khai thác bởi các nhân tố khả nghi. Chúng tôi cũng chưa nhận được báo cáo nào từ khách hàng bị ảnh hưởng vì lỗ hổng trên”, đại diện hãng khẳng định. Tuy vậy, hãng vẫn trả cho Wiz 40.000 USD tiền thưởng vì phát hiện của mình.

Trong bài đăng miêu tả chi tiết, phía Wiz cho biết lỗ hổng xuất hiện trong Jupyter Notebook cho phép các nhà nghiên cứu bảo mật của công ty có được quyền truy cập vào các “chìa khóa” quan trọng đang bảo vệ cơ sở dữ liệu Cosmos DB cho khách hàng của Microsoft. Với những “chìa khóa” này, Wiz có toàn quyền xem, chỉnh sửa, xóa các dữ liệu của hàng nghìn doanh nghiệp đang dùng Microsoft Azure.

Công ty phát hiện lỗi khoảng 2 tuần trước và Microsoft lập tức vá xong trong vòng 48 giờ kể từ thời điểm nhận được thông báo. Tập đoàn đồng thời gửi email tới khách hàng để nhắc nhở họ thay đổi quyền truy cập để tránh bị khai thác.