Microsoft měl velký bezpečnostní průšvih, jeho cloud ohrozil data firem a úřadů. Možná i českých

Společnost SOCRadar odhalila, že kvůli špatně nakonfigurovanému cloudu Azure Microsoft veřejně zpřístupnil 2,4 TB dat. Týkají se 65 tisíc domén připadajících firmám i úřadům a nesou obsah 335 tisíc e-mailů včetně příloh a 133 tisíc dalších projektů. Data pocházejí od roku 2017 až do letošního srpna. Firma SOCRadar problém Microsoftu nahlásila v září, ten jej okamžitě opravil.

Redmondský bezpečnostní tým jej ale trochu bagatelizuje. Přiznává špatné nastavení serverů, ale uvádí, že podle jeho vyšetřování nikdo data jeho zákazníků nezneužil či nekompromitoval žádné systémy. Dotčené zákazníky přitom informoval, že jejich data šla z internetu stáhnout kýmkoliv, kdo by o problému věděl. Podle Kevina Beaumonta nicméně mohly část dat zaindexovat vyhledávače, takže by se k nim snadno dostali i nehackeři.

Dle Microsoftu ale SOCRadar značně přehání, pokud jde o množství odhalených dat. V řadě případů jde o duplicity, kupříkladu e-maily v rámci jedné domény mohly být v Azure Blob Storage uloženy vícenásobně. Firma přiznává, že takto zpřístupnila transakční informace obsahující jména lidí a organizací, telefonní čísla, e-mailové adresy, ale také obsah zpráv, protože e-maily zpravidla nejsou šifrované. Dále uvádí, že se problém netýkal celého jeho cloudu, a zdůraznil, že nejde o zranitelnost jeho služby, ale lidskou chybu.

K tomu ještě kritizuje SOCRadar za to, že spustil vyhledávač BlueBleed, na kterém se dají postižené internetové domény jednoduše vyhledat. Na českém Twitteru se už šíří domény, kterých se problém týkal. Jsou tam například MPSV.cz, MVCR.cz, MFCR.cz, Army.cz, GOV.cz, Praha.eu, ale také adres VZP, ČEZu, České pošty, DPP, SŽDC, Seznamu nebo Alzy.

Klepněte pro větší obrázek
Vyhledávač BlueBleed již vyřadil výsledky týkající se cloudu Azure, zveřejněná data MPSV může mít na svědomí jiný cloud

Jenže už si nikdo neuvědomuje, že tato data nemusel vůbec ohrozit Microsoft. Ve vyhledávači jsou dostupná, ale SOCRadar zároveň už minulý týden na žádost Microsoft vyřadil výsledky týkající se Azure. Zmíněný BlueBleed totiž uvádí, že agreguje zpřístupněné informace z pěti dalších špatně nakonfigurovaných cloudů, mj. také od Amazonu a Googlu. O nich ale SOCRadar zatím nic bližšího neuvádí. Analýza ale rozhodně přijde. Ostatně tu od Microsoftu firma nazývá BlueBleed I, takže další jsou na cestě.

Ve vyhledávači stojí, že má v databázi 150 tisíc organizací a milionu e-mailů. Zranitelných domén v Azure bylo 65 tisíc, e-mailů 335 tisíc.

Diskuze (16) Další článek: Mezinárodní vesmírná stanice musela opět uhnout před troskami ruského satelitu

Témata článku: Microsoft, Google, Cloud, Internet, Bezpečnost, Amazon, Twitter, Praha, Azure, E-mail, Česká pošta, Doména, ČEZ, Data firem, Data, Azur Blob Storage, MPSV, Průšvih, Vyhledávač, Seznam, VZP



Jak zvýšit herní výkon ve Windows 11? Vypněte tyhle funkce, radí Microsoft

Jak zvýšit herní výkon ve Windows 11? Vypněte tyhle funkce, radí Microsoft

**Windows 11 na některých počítačích aktivují bezpečnostní funkci Integrita paměti. **Virtualizační funkce ale negativně ovlivňují herní výkon. **Pokud některé funkce vypnete, můžete tím herní výkon posílit.

Petr Urban
Windows 11Microsoft
Zuckerbergovo metaverzum je zatím tak špatné, že jej nechtějí používat ani jeho zaměstnanci

Zuckerbergovo metaverzum je zatím tak špatné, že jej nechtějí používat ani jeho zaměstnanci

**V interním oběžníku šéf metaverza v Metě přiznává, že jeho hlavní aplikaci nechtějí používat ani lidé z vývoje. **Horizon Worlds trpí řadou chyb, špatným výkonem nebo neslavně vypadající grafikou. **Ani po výzvě od šéfa metaverza zaměstnanci aplikaci příliš nepoužívají, takže je management musí donutit.

Petr Urban
MetametaverseVirtuální realita
Microsoft vydal Windows 11 verze 22H2. Jak aktualizovat hned teď?

Microsoft vydal Windows 11 verze 22H2. Jak aktualizovat hned teď?

**Aktualizace s názvem 2022 Update je od úterý od 19:00 oficiálně dostupná všem **Distribuce Windows 11 22H2 bude řízená, takže se může protáhnout na týdny až měsíce **Pokud máte kompatibilní počítač, rovnou na verzi 22H2 přejdete z Desítek

Petr Urban
Windows 11Windows UpdateMicrosoft
Jsou vůbec DALL-E, Midjourney nebo Copilot legální? Někdo by to měl rozčísnout, dokud je ještě čas

Jsou vůbec DALL-E, Midjourney nebo Copilot legální? Někdo by to měl rozčísnout, dokud je ještě čas

** Z textových a obrázkových AI generátorů se stávají komerční služby ** Už to není experiment pro pár geeků a programátorů ** Právní experti začínají řešit, jestli náhodou neporušují autorské právo

Jakub Čížek
Autorské právoUmělá inteligence
Konec českého poskytovatele internetu v přímém přenosu. Připomíná to krachující energetické firmy
Lukáš Václavík
CETINPoskytovatelé internetuPřipojení k internetu