CosmosDB là một dịch vụ cơ sở dữ liệu đa mô hình của nền tảng đám mây Microsoft Azure. Nhưng một nhóm nghiên cứu ở công ty bảo mật Wiz mới đây đã tìm ra lỗ hổng chứa khóa truy cập có thể dùng để đột nhập vào cơ sở dữ liệu của hàng nghìn khách hàng. 

Bởi vì Microsoft không thể tự mình thay đổi các khóa này,ảnhbáolỗhổnglàmlộdữliệucủahàngnghìnkháchhàâu hà my gã khổng lồ phần mềm đã phải viết email cảnh báo hôm thứ năm tới toàn thể khách hàng, trong đó có những công ty lớn nhất thế giới, rằng kẻ xâm nhập vào dịch vụ đám mây có thể đọc, thay đổi hoặc thậm chí xóa đi cơ sở dữ liệu chính của công ty.

Tuy nhiên, lá thư của Microsoft cho biết hiện hãng vẫn chưa tìm thấy bằng chứng nào cho thấy lỗ hổng đã bị tin tặc khai thác.

Cũng trong một email khác gửi Wiz, Microsoft đã đồng ý thưởng 40.000 USD cho công ty này vì tìm ra và báo cáo lỗ hổng lên Microsoft. 

“Chúng tôi đã sửa lỗi này ngay lập tức để đảm bảo khách hàng của mình an toàn và được bảo vệ. Chúng tôi cũng cảm ơn đội ngũ các nhà nghiên cứu đã làm việc hợp tác để tìm ra lỗ hổng”, đại diện Microsoft trả lời Reuters.

Đám mây là tương đối an toàn, nhưng lỗ hổng một khi tồn tại sẽ ảnh hưởng tới toàn bộ khách hàng.

Nhóm nghiên cứu Wiz đã tìm ra lỗ hổng này vào ngày 9/8 và báo cáo lên Microsoft vào ngày 12/8. Họ gọi đây là ChaosDB vì lỗ hổng có thể tạo ra hỗn loạn khủng khiếp khi kẻ gian có thể truy cập vào cơ sở dữ liệu chính của Azure và lấy đi bất cứ thứ gì chúng muốn lấy của khách hàng.

Giải thích kỹ hơn, Wiz cho biết lỗ hổng tồn tại trong một công cụ lâu năm gọi là Jupyter Notebook, mà mới được bật lên mặc định trong CosmosDB từ tháng 2 năm nay.

Microsoft gần đây đang dính vào nhiều vụ bị tin tặc xâm nhập. Kể từ năm ngoái, vụ tấn công vào SolarWinds khiến máy chủ thư điện tử Exchange của Microsoft đã trở thành miếng mồi ngon cho tin tặc. Cho đến ít ngày trước, máy chủ này tiếp tục bị tin tặc tấn công đòi tiền chuộc qua lỗ hổng ProxyShell.

Tuy vậy, việc Azure có lỗ hổng nghiêm trọng còn đáng lo ngại hơn khi Microsoft hối thúc các khách hàng từ bỏ cơ sở hạ tầng của riêng mình để chuyển lên đám mây, vốn hiếm khi bị tấn công nhưng thiệt hại là cực kỳ lớn một khi có lỗ hổng. 

Phòng nghiên cứu để xếp hạng và đánh giá mức độ nghiêm trọng trong lỗ hổng ở phần mềm đã tồn tại từ lâu. Nhưng một hệ thống tương tự để đánh giá lỗ hổng trong kiến trúc đám mây là chưa có, vì thế vẫn còn nhiều lỗ hổng nghiêm trọng mà người dùng chưa ý thức được, theo đại diện Wiz. 

Phương Nguyễn (Theo Reuters)

Google, Microsoft sẽ chi hàng tỷ USD cho an ninh mạng

Những ông lớn đầu ngành, từ công nghệ đến bảo hiểm, đã cam kết đầu tư hàng tỷ USD để tăng cường an ninh mạng ngay trong cuộc họp với Tổng thống Mỹ Joe Biden diễn ra tại Nhà Trắng.

• ·Siêu máy tính dự đoán Atalanta vs Napoli, 02h45 ngày 19/01
• ·Nhận định, soi kèo Nữ Bordeaux với Nữ Lyonnais, 21h30 ngày 8/5: Không có bất ngờ
• ·Soi kèo phạt góc Bồ Đào Nha vs Đức, 23h ngày 19/6
• ·Soi kèo phạt góc Colombia vs Peru, 7h ngày 21/6
• ·Kèo vàng bóng đá Brentford vs Liverpool, 22h00 ngày 18/1: Khó thắng cách biệt
• ·Nhận định, soi kèo Odense vs Lyngby, 0h00 ngày 11/5: Chưa thể cân bằng
• ·Soi kèo phạt góc Brazil vs Venezuela, 4h ngày 14/6
• ·Nhận định, soi kèo Khosilot Farkhor với Barkchi Hisor, 20h00 ngày 10/05: Chấm dứt cơn khủng hoảng
• ·Nhận định, soi kèo Persib Bandung vs Dewa United, 19h00 ngày 17/1: Giữ vững ngôi đầu
• ·Nhận định, soi kèo OLS Oulu với SJK Seinajoki, 22h00 ngày 8/5: Chênh lệch đẳng cấp
• ·Nhận định, soi kèo Molodechno với Orsha, 21h00 ngày 10/5: Duy trì đà hưng phấn
• ·Soi kèo phạt góc Nga vs Đan Mạch, 2h ngày 22/6
• ·Nhận định, soi kèo Smouha vs ZED FC, 22h00 ngày 17/1: Khách tự tin
• ·Soi kèo phạt góc Chile vs Bolivia, 4h ngày 19/6
• ·Nhận định, soi kèo Al Ittihad vs Al
• ·Soi kèo phạt góc Italia vs Thụy Sĩ, 2h ngày 17/6