微软警告数千名云服务客户：数据库或被暴露

Wiz公司首席技术官阿米·卢特瓦克（Ami Luttwak）是微软云安全集团的前首席技术官。

由于微软不能自行更改这些密钥，周四该公司给其客户发送了电子邮件，告知他们要创建新的密钥。微软发给Wiz的电子邮件显示，微软同意向Wiz支付4万美元，用于奖励其发现并报告了这一漏洞。

微软发言人拒绝立即就此事置评。

微软在发给客户的电子邮件中写到，他们当前已经修复了这个漏洞，而且没有证据表明这个漏洞已经被利用了。该公司写道：“没有迹象表明研究人员（Wiz）以外的外部实体能够访问主要的读写密钥。”

卢特瓦克说道：“这是你能想象到的最糟糕的云计算服务漏洞。这是一个长期存在的秘密。这是Azure的中央数据库，我们能够获得我们想要的任何一个客户的数据库的访问权限。”

卢特瓦克透露，他的团队在8月9日发现了这个被命名为ChaosDB的漏洞，并且在8月12日将此问题报告给了微软。

几个月之前，微软刚刚遇到了一个与安全相关的坏消息。该公司疑似被俄罗斯黑客入侵，他们盗取了微软的一些源代码。不久前，微软还重新修复了一个问题，该问题允许计算机被打印机接管。

上周，Exchange的一个电子邮件缺陷引发了美国政府的紧急警告，客户需要安装几个月前发布的补丁，因为勒索软件团伙现在正在利用这个缺陷。

原文来自: cnbeta.com