Une vulnérabilité dans la base de données Azure Cosmos DB a laissé pendant plus de deux ans des données de plus de 3.300 clients exposés à des cyberattaques potentielles rapporte Bloomberg. Un cyberpirate aurait pu ainsi dérober, modifier ou supprimer des données sensibles ont révélé des chercheurs de Wiz, un spécialiste de la cybersécurité basé à Tel Aviv . Le cofondateur et directeur de la technologie de la société, Ami Luttwak, a déclaré que son équipe de chercheurs avait découvert la vulnérabilité le 9 août en s’occupant de la sécurité de certains de ses clients du Fortune 500.
Selon lui, la faille existait depuis la mi-2019, lorsque Microsoft a ajouté une nouvelle fonctionnalité à Cosmos DB appelée Jupyter Notebooks, un module complémentaire qui permet aux gestionnaires de bases de données d’insérer des lignes de code afin qu’ils puissent visualiser et interagir avec leurs données. Cette fonctionnalité devait être activée par les utilisateurs jusqu’en février dernier, lorsque la firme de Redmond l’a activé par défaut.
Vendredi, Microsoft a envoyé à nos confrères un communiqué reconnaissant l’existence de la vulnérabilité, indiquant que celle-ci avait immédiatement été corrigée après son signalement par Wiz. « Notre enquête indique qu’aucune donnée client n’a été consultée en raison de cette vulnérabilité par des tiers ou des chercheurs en sécurité. Nous avons informé les clients dont les clés peuvent avoir été affectées lors de l’activité de recherche afin de les régénérer », assure l’éditeur. « Nous explorons activement la mise en œuvre de protections supplémentaires, notamment la mise à jour du modèle de menace et l’ajout d’une surveillance supplémentaire pour détecter les accès involontaires aux données », conclut le communiqué.
Des entreprises comme Exxon Mobile, Coca Cola ou encore Citrix comptent parmi les clients de Cosmos DB.