向数千云计算客户发邮件，微软称数据库存严重安全漏洞

整理 | 祝涛

出品 | CSDN（ID：CSDNnews）

据报道，在得知其云计算数据库存在漏洞后，微软在本周四紧急通知了数千名云计算客户，这些客户中甚至包括一些世界上规模最大的企业，入侵者可以利用这个漏洞阅读、改变甚至删除其主要数据库。

这一漏洞出现在微软Azure的旗舰产品Cosmos数据库中。安全公司Wiz所成立的一个研究小组调查发现，通过这一漏洞能够访问控制数千家公司持有的数据库访问权的密钥。值得一提的是，Wiz公司首席技术官Ami Luttwak是微软云安全集团的前首席技术官。

安全事故发生后，微软不能自行更改这些密钥，于是便立刻给客户发送了电子邮件，告知他们需要创建新的密钥。微软也承诺将支付4万美元，用于犒赏Wiz安全公司的及时报告。微软称，这个漏洞已经被修复了，而且没有证据表明这个漏洞已经被黑客利用了。

Luttwak透露，他的团队在8月9日发现了这个被命名为ChaosDB的漏洞，在8月12日将此问题报告给了微软。Luttwak说道：“这个漏洞不知道已经潜伏了多久。这是Azure的中央数据库，利用漏洞我们能够获得任何一个客户的数据库访问权限。”

几个月前，微软也曾发布公告，声称一个俄罗斯黑客组织盗取了微软的一些源代码。微软在博客中表示：“经过审查，我们发现有一个帐户已查看多个源代码存储库中的源代码。该帐户无权修改任何代码或工程系统，调查进一步证实未进行任何更改。”该网络安全事故被称为迄今为止对美国造成的最严重的网络攻击，微软将SolarWinds网络攻击称为“Solorigate”（过度曝光）。

而几个月后，微软再次被曝出安全漏洞的丑闻，解决网络安全问题已然成为微软的首要任务。

参考链接：