Ein Sicherheits-Spezialist findet eine Lücke in der Microsoft Azure Infrastruktur
Am Donnerstag wurden mehrere Tausend Kunden von Microsoft über eine schwerwiegende Sicherheitslücke des Clouddienstes Azure informiert. Unbefugte konnten sich Vollzugriff auf die Cloud Datenbanken von Kunden erschleichen. Betroffen sind hauptsächlich die Produkte – Multi-Model-NoSQL-DB.
Nach Aussagen von Microsoft, wurde die Lücke mittlerweile geschlossen, jedoch müssen die betroffenen Kunden selbst aktiv werden, um den unerlaubten Zugriff zu verhindern.
Schlimmste Schwachstelle die vorstellbar ist
Der Sicherheitsexperte Ami Luttwak sagte Reuters gegenüber das dies die schlimmste Schwachstelle sei, die man sich nur vorstellen kann. CosmosDB von Microsoft ist die zentrale Datenbank von Azure und dem Sicherheitsteam von Wiz sei es möglich gewesen auf jede Kundendatenbank zuzugreifen! Luttwak, CTO bei Wiz, war früher CTO bei Microsofts Cloud Security Group.
Coca-Cola, Exxon-Mobil und Citrix nutzen daher CosmosDB von Microsoft Azure um riesige Datenmengen fast in Echtzeit zu verwalten. CosmosDB wird als eine der einfachsten und flexibelsten Möglichkeiten für Entwickler gepriesen, um Daten zu speichern. Jede Schwachstelle in dieser Datenbank zieht damit aber unweigerlich Tausende von Kunden in Mitleidenschaft.
Microsoft informiert betroffene Kunden - aber warum nicht alle
Luttwak kritisierte gegenüber Reuters Microsofts Warnungen an seine Kunden: Die Firma habe nur Kunden angeschrieben, deren angreifbare Schlüssel im selben Monat sichtbar seien, in dem Wiz das Problem entdeckt habe. Angreifer hätten wegen der langen Dauer, in der die Schwachstelle zugänglich gewesen sei, aber von viel mehr Kunden Schlüssel einsehen können. Genau diese Kunden habe Microsoft demnach nicht informiert. Auf Nachfrage dazu sagte Microsoft gegenüber Reuters lediglich, möglicherweise betroffene Kunden habe man informiert, erläuterte die Aussage jedoch nicht weiter. Für europäische Azure-Cloud-Kunden, die Personendaten in einer Cosmos DB-Instanz gespeichert haben, stellt sich zudem die Frage, ob eine vorsorgliche DSGVO-Meldung binnen 72 Stunden wegen eines möglichen Sicherheitsvorfalls an die zuständigen Datenschutzbehörden zu senden ist.