ทีมวิจัยจาก Wiz รายงานถึงช่องโหว่ใน Azure Cosmos DB บริการฐานข้อมูล NoSQL ของ Microsoft Azure ทำให้คนร้ายสามารถขโมยกุญแจ API เพื่อยึดฐานข้อมูลได้

ช่องโหว่นี้อาศัยฟีเจอร์ Jupyter Notebook ของ Cosmos DB โดยแฮกเกอร์สามารถเข้าไปอ่านข้อมูลใน Jupyter Notebook ของผู้ใช้รายอื่น ทำให้สามารถดึง Primary Key สำหรับอ่านเขียนข้อมูลใน Cosmos DB ออกมาได้

ไมโครซอฟท์แก้ไขช่องโหว่นี้หลังได้รับแจ้ง 48 ชั่วโมง และระบุว่าตรวจสอบไม่พบความพยายามโจมตีแบบนี้กับลูกค้ารายอื่น แต่ก็จะแจ้งลูกค้าที่ได้รับผลกระทบต่อไป โดยผู้ใช้อาจจะเลือกสร้าง Primary Key ใหม่เพื่อความปลอดภัย

ไมโครซอฟท์ให้รางวัลรายงานบั๊กสำหรับช่องโหว่นี้ 40,000 ดอลลาร์ หรือประมาณ 1.3 ล้านบาท

ที่มา - Wiz: ChaosDB