Microsoft ने अपने Azure क्लाउड कंप्यूटिंग ग्राहकों में से कुछ को चेतावनी दी थी कि सुरक्षा शोधकर्ताओं द्वारा खोजे गए एक दोष से हैकर्स को उनके डेटा तक पहुंचने की अनुमति मिल सकती है। अपनी सुरक्षा प्रतिक्रिया टीम के एक ब्लॉग पोस्ट में, Microsoft ने कहा कि उसने पालो ऑल्टो नेटवर्क्स द्वारा बताई गई खराबी को ठीक कर दिया है और इसका कोई सबूत नहीं है कि दुर्भावनापूर्ण हैकर्स ने तकनीक का दुरुपयोग किया था।
इसने कहा कि उसने कुछ ग्राहकों को सूचित किया था कि उन्हें एहतियात के तौर पर अपना लॉगिन क्रेडेंशियल बदलना चाहिए। ब्लॉग पोस्ट ने पालो ऑल्टो द्वारा वर्णित तकनीक के बारे में रॉयटर्स के प्रश्नों का अनुसरण किया। Microsoft ने किसी भी प्रश्न का उत्तर नहीं दिया, जिसमें यह भी शामिल था कि क्या यह आश्वस्त था कि कोई डेटा एक्सेस नहीं किया गया था। पहले के एक साक्षात्कार में, पालो ऑल्टो के शोधकर्ता एरियल ज़ेलिवांस्की ने रॉयटर्स को बताया कि उनकी टीम तथाकथित कंटेनरों के लिए एज़्योर की व्यापक रूप से उपयोग की जाने वाली प्रणाली से बाहर निकलने में सक्षम थी जो उपयोगकर्ताओं के लिए कार्यक्रमों को संग्रहीत करती है।
उन्होंने कहा कि एज़्योर कंटेनरों ने कोड का इस्तेमाल किया था जिसे एक ज्ञात भेद्यता को पैच करने के लिए अपडेट नहीं किया गया था। परिणामस्वरूप पालो ऑल्टो टीम अंततः उस क्लस्टर का पूर्ण नियंत्रण प्राप्त करने में सक्षम हो गई जिसमें अन्य उपयोगकर्ताओं के कंटेनर शामिल थे। लंबे समय से कंटेनर सुरक्षा विशेषज्ञ इयान कोल्डवाटर ने कहा, “यह अन्य खातों को नियंत्रित करने के लिए कंटेनर एस्केप का उपयोग करने के लिए क्लाउड प्रदाता पर पहला हमला है, जिन्होंने रॉयटर्स के अनुरोध पर पालो ऑल्टो के काम की समीक्षा की।
पालो ऑल्टो ने जुलाई में माइक्रोसॉफ्ट को इस मुद्दे की सूचना दी थी। ज़ेलिवांस्की ने कहा कि इस प्रयास में उनकी टीम को कई महीने लग गए और वह इस बात से सहमत थे कि दुर्भावनापूर्ण हैकर्स ने वास्तविक हमलों में शायद इसी तरह के तरीके का इस्तेमाल नहीं किया था। फिर भी, रिपोर्ट माइक्रोसॉफ्ट के कोर एज़्योर सिस्टम में कई हफ्तों में सामने आई दूसरी बड़ी खामी है। अगस्त के अंत में, विज़ के सुरक्षा विशेषज्ञों ने एक डेटाबेस दोष का वर्णन किया जिसने एक ग्राहक को दूसरे के डेटा को बदलने की अनुमति दी होगी। दोनों ही मामलों में, Microsoft की स्वीकृति उन ग्राहकों पर केंद्रित थी, जो शायद स्वयं शोधकर्ताओं द्वारा किसी तरह प्रभावित हुए हों, बजाय इसके कि हर कोई अपने स्वयं के कोड द्वारा जोखिम में डाले।
माइक्रोसॉफ्ट ने बुधवार को लिखा, “बहुत अधिक सावधानी से, शोधकर्ता गतिविधियों से संभावित रूप से प्रभावित ग्राहकों को सूचनाएं भेजी गईं।” कोल्डवॉटर ने कहा कि समस्या समय पर पैच लागू करने में विफलता को दर्शाती है, जिसके लिए माइक्रोसॉफ्ट ने अक्सर अपने ग्राहकों को दोषी ठहराया है। “कोड को अपडेट रखना वास्तव में महत्वपूर्ण है,” कोल्डवॉटर ने कहा। “इस हमले को संभव बनाने वाली बहुत सी चीजें अब आधुनिक सॉफ्टवेयर के साथ संभव नहीं होंगी।”
कोल्डवाटर ने कहा कि क्लाउड ग्राहकों द्वारा उपयोग किए जाने वाले कुछ सुरक्षा सॉफ़्टवेयर ने दुर्भावनापूर्ण हमलों का पता लगाया होगा जैसे कि सुरक्षा कंपनी द्वारा कल्पना की गई थी, और यह लॉग ऐसी किसी भी गतिविधि के संकेत भी दिखाएगा। अनुसंधान ने सुरक्षा के लिए क्लाउड प्रदाताओं और ग्राहकों के बीच साझा जिम्मेदारी को रेखांकित किया। ज़ेलिवांस्की ने कहा कि क्लाउड आर्किटेक्चर आम तौर पर सुरक्षित होते हैं, जबकि माइक्रोसॉफ्ट और अन्य क्लाउड प्रदाता अपडेट लागू करने के लिए ग्राहकों पर भरोसा करने के बजाय खुद को ठीक कर सकते हैं। लेकिन उन्होंने कहा कि राष्ट्रीय सरकारों सहित अच्छी तरह से वित्त पोषित विरोधियों द्वारा क्लाउड हमले “एक वैध चिंता” हैं।
सभी पढ़ें ताज़ा खबर, ताज़ा खबर तथा कोरोनावाइरस खबरें यहां
.