Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Microsoft Cosmos DB : des milliers de bases de données étaient accessibles

Microsoft Cosmos DB : des milliers de bases de données étaient accessibles

Le 01 septembre 2021 à 08h44

Scénario catastrophe pour l'éditeur : « nous avons pu obtenir un accès complet et sans restriction aux comptes et bases de données de plusieurs milliers de clients Microsoft Azure, y compris de nombreuses entreprises du Fortune 500 », affirme l’entreprise Wiz spécialisée dans la sécurité informatique.

La brèche a été ajoutée en 2019 avec la fonctionnalité Jupyter Notebook to Cosmos DB. Cette dernière a été activée par défaut pour toutes les nouvelles bases Cosmos DB en février 2021. Microsoft confirme, mais ajoute que, selon son enquête, « aucune donnée client n'a été accédée ». Les clients potentiellement concernés ont été prévenus. 

Microsoft accorde 40 000 dollars de récompense à Wiz pour avoir signalé cette faille de manière responsable (début août), lui laissant ainsi le temps de la corriger et de prévenir ses clients.

Le 01 septembre 2021 à 08h44

Commentaires (6)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

C’est presque grotesque :D

votre avatar

C’est complètement grotesque.

votre avatar

Microsoft a réagi très rapidement, c’est une très bonne chose. Malheureusement, dans ce cas, corriger la vulnérabilité ne suffit pas : si une clé d’accès a fuité, elle peut être réutilisée en dehors de Jupyter Notebook. Et souvent avec une durée de validité assez importante.



wiz.io donne également quelques conseils pour mettre en place une rotation des clés (qui permet de réduire le temps où une clé ayant fuité peut être utilisée) ainsi que réduire l’exposition. La mesure la plus urgente reste de changer cette clé (ça fait partie de la communication de Microsoft aux clients).

votre avatar

en soit, tu peux régénerer les clés en un clic et c’est fini
Et j’espère que ceux qui sont en prod avec cosmos db utilisent les managed identity
docs.microsoft.com Microsoft

votre avatar

Hein ? Que 40 000 Pesetas ? Ils plaisantent ou quoi ?



Alors que de l’autre côté, on peut se faire 500 0000 par faille…?
:mad: Radins !!! Remboursez !!! :mad:



.
.
.
:arrow: :arrow: :arrow: …hem… ou filez-moi la différence, je saurais quoi en faire, gneugneugneu… :arrow: :arrow: :arrow:

votre avatar

(reply:1893170:DantonQ-Robespierre)


Microsoft = Microrécompense.

Microsoft Cosmos DB : des milliers de bases de données étaient accessibles

Fermer