Jak hacknout velkého cloudového poskytovatele? Bohužel snadno

9. 9. 2021

Sdílet

 Autor: Depositphotos
Skupina bezpečnostních odborníků společnosti Wiz se jala hledat chyby v oblíbené službě Microsoftu Cosmos DB. Uspěla hodně rychle, a v obrovském měřítku.

Cloud rychle dobyl svět a dnes v podstatě všechno, co na počítači děláme, se v nějaké formě dostane na cloud nebo dva. Microsoft Azure je jeden z největších a nejpopulárnějších, a proto se na něj také často zaměřují hackeři.

Moc práce jim to, zdá se, nedá. Skupině Wiz se rychle podařilo dostat ke kompletnímu, neomezenému přístupu k účtům a databázím několika tisíc zákazníků Microsoft Azure, mezi něž se řadí i několik Fortune 500 společností. Konkrétně k tomu využili populární a široce využívanou databázovou službu Cosmos DB.

Na Cosmos DB spoléhají i velké, nadnárodní společnosti; službu využívají ke správě dat z celého světa v téměř reálném čase. Jde o jednu z nejjednodušších a nejflexibilnějších služeb pro správu dat, což se také odráží právě v její popularitě. Podnikům usnadňuje regulaci transakcí a správu dat zákazníků z e-commerce služeb.

Série chyb, které vyzkumníci v Cosmos DB objevili, jim umožnila stáhnout, smazat nebo upravovat velké množství komerčních, placených databází; přístup měli dokonce k samotné architektuře Cosmos DB.

Zranitelnost nazvali #ChaosDB, její zneužití je triviální a v podstatě nevyžaduje žádné pokročilé znalosti.

bitcoin_skoleni

Během několika minut se odborníkům podařilo ukrást primární přístupové klíče zákazníků a dostat se k jejich datům. Tisíce zákazníků z více než 30 regionů, na pár kliknutí.

Bezpečnostní tým Microsoftu na výzvu týmu Wiz reagoval okamžitě a do 48 hodin byla zranitelnost zcela opravena. To ovšem nic nemění na faktu, že takto brutální chyba ve velmi rozšířeném softwaru je neomluvitelná – ale bohužel velmi častá, a nejen u Microsoftu. Úniky informací z databází jsou na denním pořádku, a pokud se nezlepší bezpečnost, tak se situace jen těžko promění.