Editor
जिन शोधकर्ताओं ने शनिवार को माइक्रोसॉफ्ट कॉर्प के एज़्योर क्लाउड प्लेटफॉर्म में संग्रहीत मुख्य डेटाबेस में भारी खामी का पता लगाया, उन्होंने सभी उपयोगकर्ताओं से अपनी डिजिटल एक्सेस कुंजियों को बदलने का आग्रह किया, न कि केवल 3,300 ने इस सप्ताह अधिसूचित किया।
जैसा कि पहले रॉयटर्स https://www.reuters.com/technology/exclusive-microsoft-warns-thousands-cloud-customers-exposed-databases-emails-2021-08-26 द्वारा रिपोर्ट किया गया था, Wiz नामक क्लाउड सुरक्षा कंपनी के शोधकर्ताओं ने खोजा इस महीने वे कॉसमॉस डीबी डेटाबेस सिस्टम के अधिकांश उपयोगकर्ताओं के लिए प्राथमिक डिजिटल कुंजी तक पहुंच प्राप्त कर सकते थे, जिससे वे लाखों रिकॉर्ड चुरा सकते थे, बदल सकते थे या हटा सकते थे।
Wiz द्वारा सचेत किया गया, Microsoft ने कॉन्फ़िगरेशन त्रुटि को तेजी से ठीक किया जिससे किसी भी Cosmos उपयोगकर्ता के लिए अन्य ग्राहकों के डेटाबेस में प्रवेश करना आसान हो जाता, फिर कुछ उपयोगकर्ताओं को गुरुवार को अपनी कुंजियों को बदलने के लिए सूचित किया।
शुक्रवार को एक ब्लॉग पोस्ट में, माइक्रोसॉफ्ट ने कहा कि उसने उन ग्राहकों को चेतावनी दी है जिन्होंने सप्ताह भर की शोध अवधि के दौरान कॉसमॉस एक्सेस की स्थापना की थी। इसमें कोई सबूत नहीं मिला कि किसी हमलावर ने ग्राहक डेटा में शामिल होने के लिए उसी दोष का इस्तेमाल किया था, यह नोट किया।
“हमारी जांच से पता चलता है कि शोधकर्ता गतिविधि के अलावा कोई अनधिकृत पहुंच नहीं है,” Microsoft ने लिखा। “सभी ग्राहकों को सूचनाएं भेजी गई हैं जो शोधकर्ता गतिविधि के कारण संभावित रूप से प्रभावित हो सकती हैं,” यह कहा, शायद उस मौके का जिक्र करते हुए कि तकनीक लीक हो गई थी जानकार
“हालांकि कोई ग्राहक डेटा एक्सेस नहीं किया गया था, यह अनुशंसा की जाती है कि आप अपनी प्राथमिक रीड-राइट कुंजी को पुन: उत्पन्न करें,” यह कहा।
यूएस डिपार्टमेंट ऑफ होमलैंड सिक्योरिटी की साइबर सिक्योरिटी एंड इंफ्रास्ट्रक्चर सिक्योरिटी एजेंसी ने शुक्रवार को एक बुलेटिन में मजबूत भाषा का इस्तेमाल किया, जिससे यह स्पष्ट हो गया कि यह केवल अधिसूचित लोगों से ही नहीं बोल रहा था।
एजेंसी ने https://us-cert.cisa.gov/ncas/current-activity/2021/08/27/microsoft-azure-cosmos- ने कहा, “CISA Azure Cosmos DB ग्राहकों को अपनी प्रमाणपत्र कुंजी को रोल करने और पुन: उत्पन्न करने के लिए दृढ़ता से प्रोत्साहित करता है।” डीबी-मार्गदर्शन।
एज़्योर की इन-हाउस सुरक्षा टीम के चार दिग्गजों द्वारा स्थापित विज़ के विशेषज्ञ सहमत हुए।
चार में से एक, विज़ चीफ टेक्नोलॉजी ऑफिसर अमी लुटवाक ने कहा, “मेरे अनुमान में, असंभव नहीं तो पूरी तरह से इस बात से इंकार करना उनके लिए वास्तव में कठिन है कि किसी ने पहले इसका इस्तेमाल किया था।” माइक्रोसॉफ्ट में उन्होंने क्लाउड सुरक्षा घटनाओं को लॉग करने के लिए उपकरण विकसित किए।
यह पूछे जाने पर कि क्या जुपिटर नोटबुक सुविधा को गलत तरीके से कॉन्फ़िगर किया गया था, या एक्सेस दुरुपयोग को रद्द करने के लिए किसी अन्य तरीके का उपयोग किया था, माइक्रोसॉफ्ट ने सीधे जवाब नहीं दिया।
“हमने अतीत में वर्तमान और इसी तरह की घटनाओं के लिए सभी संभावित गतिविधियों की तलाश के लिए शोधकर्ता की गतिविधियों से परे अपनी खोज का विस्तार किया,” प्रवक्ता रॉस रिचेंड्रफर ने कहा, अन्य प्रश्नों को संबोधित करने से इनकार करते हुए।
विज ने कहा कि माइक्रोसॉफ्ट ने अनुसंधान पर इसके साथ मिलकर काम किया था, लेकिन यह कहने से इनकार कर दिया कि यह कैसे सुनिश्चित किया जा सकता है कि पहले के ग्राहक सुरक्षित थे।
“यह डरावना है। मैं वास्तव में आशा करता हूं कि हमारे अलावा किसी को भी यह बग नहीं मिला, “विज़, सागी तज़ादिक में परियोजना के प्रमुख शोधकर्ताओं में से एक ने कहा।
सभी पढ़ें ताज़ा खबर, ताज़ा खबर तथा अफगानिस्तान समाचार यहां
