パスワードを忘れた? アカウント作成

Microsoft Power Apps で個人情報を含む計 3,800 万件のレコードが流出、その原因は仕様?」記事へのコメント

  • Power Appsのは設定変更してない奴が悪いって強弁すればどうにかなりそうな話ですが、こっちは本物の脆弱性。

    https://www.wiz.io/blog/chaosdb-how-we-hacked-thousands-of-azure-custo... [www.wiz.io]

    ChaosDB: How we hacked thousands of Azure customers’ databases

    a series of flaws in a Cosmos DB feature created a loophole allowing any user to download, delete or manipulate a massive collection of commercial databases, as well as read/write access to the underlying architecture of Cosmos DB.

    ・2019年、CosmosDBの可視化ツールとしてJupyter Notebookが導入された。
    ・Jupyter Notebookの設定ミスで、他ユーザの権限を手に入れることが可能だった。
    ・最終的に他者のCosmosDBプライマリキーをゲットすることができた。
    ・MSに連絡したら48時間以内に修正された。

    めちゃ深刻な問題だと思うんだけど全然話題になってない。

    ここに返信

人生unstable -- あるハッカー

処理中...