Het IsraĆ«lische beveiligingsbedrijf Wiz en het Amerikaanse cybersecurityagentschap CISA raden alle klanten van de clouddienst Microsoft Azure aan hun digitale sleutel te veranderen, schrijft Reuters zaterdag. Dat zeggen de experts naar aanleiding van een groot beveiligingslek in de cloudsoftware, dat zo’n twee jaar heeft bestaan.
Wiz kwam het lek tegen in de zogenoemde Cosmos DB-database van Microsoft Azure. Hiermee kon het bedrijf bij sleutels komen die de toegang tot de databases van duizenden bedrijven beheren. Het lek werd eerder deze maand gedicht nadat Microsoft was ingelicht door Wiz.
In een e-mail aan 3.300 klanten van Azure schrijft Microsoft dat het bedrijf “geen aanwijzingen heeft dat externen buiten de onderzoeker (Wiz, red.) toegang hadden”. Onder die klanten zijn grote Amerikaanse bedrijven, waaronder olie- en gasconcern ExxonMobil en frisdrankconcern Coca-Cola.
Hoe Microsoft zeker weet dat niemand ongeautoriseerde toegang had tot de databases, zegt het bedrijf niet. CISA vindt dat zorgelijk. Daarom raadt het agentschap alle Azure-gebruikers aan hun sleutel te veranderen, dus niet alleen de 3.300 klanten die zijn ingelicht door Microsoft.
Ami Luttwak, technologie-expert bij Wiz, sluit zich bij het advies aan. “Het is onmogelijk om volledig uit te sluiten dat het lek is misbruikt”, zegt Luttwak tegen Reuters.