Microsoft pada hari Kamis memperingatkan ribuan pelanggan komputasi cloud nya, termasuk beberapa perusahaan terbesar di dunia, bahwa penyusup dapat memiliki kemampuan untuk membaca, mengubah atau bahkan menghapus basis data utama mereka, menurut salinan email dan peneliti keamanan siber.
Kerentanan ada di database Cosmos DB andalan Microsoft Azure. Sebuah tim peneliti di perusahaan keamanan Wiz menemukan bahwa ia dapat mengakses kunci yang mengontrol akses ke database yang dimiliki oleh ribuan perusahaan. Wiz Chief Technology Officer Ami Luttwak adalah mantan chief technology officer di Microsoft Cloud Security Group.
Karena Microsoft tidak dapat mengubah kunci itu sendiri, ia mengirim email kepada pelanggan pada hari Kamis untuk meminta mereka membuat yang baru. Microsoft setuju untuk membayar Wiz US$40.000 untuk menemukan cacat dan melaporkannya, menurut email yang dikirim ke Wiz. “Kami segera memperbaiki masalah ini untuk menjaga keamanan dan perlindungan pelanggan kami. Kami berterima kasih kepada para peneliti keamanan karena bekerja di bawah pengungkapan kerentanan yang terkoordinasi,” kata Microsoft kepada Reuters.
Tim Luttwak menemukan masalah tersebut, yang disebut ChaosDB, pada 9 Agustus dan memberi tahu Microsoft pada 12 Agustus, kata Luttwak. Cacatnya ada di alat visualisasi yang disebut Jupyter Notebook, yang telah tersedia selama bertahun-tahun tetapi diaktifkan secara default di Cosmos mulai Februari. Setelah Reuters melaporkan kekurangan tersebut, Wiz merinci masalah tersebut dalam sebuah posting blog.
Microsoft mengatakan kepada Reuters bahwa “pelanggan yang mungkin terkena dampak menerima pemberitahuan dari kami,” tanpa menjelaskan lebih lanjut.
Selengkapnya: Business Today
