《國際產業》旗艦資料庫有漏洞 微軟警告數千家客戶

【時報編譯柯婉琇綜合外電報導】路透社報導，根據一封電子郵件副本和來自網路安全研究人員提供的資訊，周四微軟向其雲端運算事業的數千家客戶發出警告，稱入侵者可能有能力讀取、更改或甚至刪除其重要的資料庫。這些接到警訊的客戶不乏一些全球最大的公司。

這個漏洞存在於微軟Azure的旗艦型資料庫Cosmos DB。資安公司 Wiz的一個研究團隊發現，透過這個漏洞能取得進入數千家公司資料庫的密鑰。

Wiz技術長Ami Luttwak曾擔任微軟雲端安全事業集團（Cloud Security Group）的技術長。他表示：「這是你能想像到最嚴重的雲端漏洞，這是一個長久以來的秘密，涉及的是Azure的中央資料庫，我們能進入任何我們想要進入的客戶資料庫」。

Luttwak的團隊在8月9日發現了這個ChaosDB資料庫的問題，並在8月12日通知微軟。

由於微軟無法自行更改這些密鑰，因此在周四向客戶發出電子郵件通知他們重設密鑰。根據微軟發送給Wiz的電子郵件，微軟同意支付Wiz公司40,000美元以找出這個漏洞。

微軟向路透社表示，我們立即修復了這個問題，以確保我們的客戶是安全且受到保護。此外，微軟在給客戶的電郵中表示，沒有證據顯示這個漏洞已經遭到利用，「沒有跡象顯示除了Wiz研究人員以外，有外部人員可以取得主要的讀寫密鑰」。