بلومبرغ
تركت إحدى الثغرات الأمنية في نظام قاعدة البيانات السحابية لشركة "مايكروسوفت" بيانات آلاف العملاء عرضة لهجمات إلكترونية محتملة منذ ما يقارب عامين، وفقاً لشركة الأمن السيبراني الإسرائيلية التي اكتشفت الخطأ.
تعرض أكثر من 3300 من عملاء عملاق البرمجيات لخللٍ في منتج قاعدة بيانات "أزور كوسموس دي بي" (Azure Cosmos DB) الذي كان من الممكن أن يمنح مفاتيح وصول لفاعل ضار لسرقة أو تحرير أو حذف البيانات الحساسة، وفقاً للباحثين في موقع شركة "ويز" (Wiz.io) التي تتخذ من تل أبيب مقراً لها.
قال المؤسس المشارك لـ"ويز" ورئيس قسم التكنولوجيا آمي لوتواك، إن فريقه من الباحثين اكتشف الثغرة الأمنية في 9 أغسطس أثناء إدارتهم لأمن بعض عملاء "فورتشين 500" (Fortune 500).
تحذير للعملاء
وذكرت وكالة "رويترز" في وقتٍ سابق أن مايكروسوفت حذَّرت الآلاف من عملائها في "أزور" يوم الخميس من الثغرة الأمنية.
ففي رسالة بريد إلكتروني للعملاء تمت مراجعتها من قبل "بلومبرغ نيوز"، طلبت شركة البرمجيات من مسؤولي الشبكة اتخاذ أربع خطوات لحماية قواعد بيانات "أزور كوسموس" الخاصة بهم، بما في ذلك إنشاء مفاتيح رقمية جديدة تستخدم للوصول الآمن إلى هذه الأنظمة.
من جانبها، قالت "مايكروسوفت" إنها أصلحت الثغرة الأمنية منذ ذلك الحين. وقالت الشركة في بيان عبر البريد الإلكتروني: "لا يوجد دليل على أن هذه التقنية قد استغلت من قبل جهات خبيثة، نحن لسنا على علم بأي بيانات عملاء يتم الوصول إليها بسبب هذه الثغرة الأمنية".
ثغرة أمنية
وجد باحثو شركة "ويز" أن الثغرة موجودة منذ منتصف عام 2019، عندما أضافت "مايكروسوفت" ميزة جديدة إلى "أزور كوسموس دي بي" تسمى "جوبيتر نوت بوك".
تسمح هذه الوظيفة الإضافية لمديري قواعد البيانات بإدراج أسطر من التعليمات البرمجية حتى يتمكنوا من تصور بياناتهم والتفاعل معها.
كان لابد من تشغيل الميزة من قبل المستخدمين حتى فبراير 2021، عندما قامت "مايكروسوفت" بتنشيط "جوبيتر نوت بوك" افتراضياً.
وقال لوتواك من شركة "ويز": "إذا كنت عميلاً أستخدم قاعدة البيانات السحابية، فإن خوفي الأكبر هو أن يقوم شخص ما بالوصول إلى بياناتي دون علمي، وهذا ما كان يمكن أن تفعله هذه الثغرة الأمنية، إذا لم يتم تصحيحها".
تُصنف "كوسموس دي بي" عدة شركات بما في ذلك "إكسون موبيل" و"كوكاكولا" و"أنظمة سايتركس" (Citrix Systems) كعملاء، وفقاً لموقع "مايكروسوفت" الإلكتروني للخدمة.
وفي شهادة أحد العملاء على الموقع، تقول سلسلة صيدليات "والغرينز" (Walgreens) إنها تعالج أكثر من 6 ملايين وصفة طبية يومياً وتستخدم الشركة "أزور كوسموس دي بي" لتشغيل "الخدمات الصغيرة التي تعتمد عليها معاملات الوصفات الطبية".