微软云服务Azure存严重安全漏洞 入侵者可任意访问客户数据

据媒体报道，微软周四向其数千名云计算客户发出警告，其云服务Azure的旗舰数据库Cosmos存在安全漏洞，网络入侵者可能借此读取、更改甚至他们的主数据库。

据悉，安全公司Wiz的一个研究团队发现了Azure漏洞，通过该漏洞，它能够访问控制数千家公司数据库的密钥。Wiz首席技术官Ami Luttwak是微软云安全集团的前首席技术官，作为发现漏洞并报告的奖励，微软向Wiz提供了4万美元的报酬。

微软的云计算客户中不乏一些大公司，由于微软没有更改客户密钥的权限，该公司周四发邮件给相关客户，让他们创建新的密钥。

微软在邮件中表示，Azure的漏洞已经被修复，没有迹象表明Wiz以外的外部实体访问了住读写密钥。

Wiz的团队8月9日发现了这个名为ChaosDB的问题，并在8月12日通知了微软。Luttwak表示，这是他能想象到的最糟糕的云计算安全隐患，通过Azure的中央数据库，他们可以访问任何一个客户的数据库。

安全隐患已经成为了微软的老大难问题，在去年年底SolarWinds攻击事件中，黑客甚至窃取了微软的源代码。

受害者并不限于微软，今年以来发生了一系列勒索软件攻击，针对目标通常是大型企业或政府部门，这些受害对象通常财力雄厚，因此容易成为黑客的目标，美国最大成品油管网运营商Colonial Pipeline和全球最大肉类生产商JBS SA都曾遭到过勒索软件攻击。

美国总统拜登本周三会见了科技等行业大公司的负责人，要求他们加强网络安全防御，以应对日益复杂的网络攻击。为响应白宫的号召，微软承诺在未来五年内投入200亿美元来提供更先进的安全工具，该公司还将投资1.5亿美元帮助政府机构升级安全系统，并扩大网络安全培训合作伙伴关系。