Het Israëlische beveiligingsbedrijf Wiz en het Amerikaanse cybersecurityagentschap CISA raden alle klanten van de clouddienst Microsoft Azure aan om hun digitale sleutel te veranderen, schrijft Reuters zaterdag. Dit zeggen de experts naar aanleiding van een groot beveiligingslek in de cloudsoftware, dat zo’n twee jaar heeft bestaan.
Wiz kwam het lek tegen in de zogenoemde Cosmos DB-database van Microsoft Azure. Hiermee kon het bedrijf bij sleutels komen die de toegang van de databases van duizenden bedrijven beheren. Het lek is eerder deze maand gedicht nadat Microsoft was ingelicht door Wiz.
In een email aan 3.300 Azure-klanten staat dat Microsoft “geen aanwijzingen heeft dat externen buiten de onderzoeker (Wiz) toegang hadden”. Onder die klanten zijn grote Amerikaanse bedrijven, waaronder olie- en gasconcern ExxonMobil en frisdrankconcern Coca-Cola.
Hoe Microsoft zeker weet dat niemand ongeautoriseerde toegang had tot de databases zegt het bedrijf niet. CISA vindt dat zorgelijk. Daarom raadt het agentschap iedere Azure-klant aan om zijn sleutel te veranderen, dus niet alleen de 3,300 klanten die zijn ingelicht door Microsoft.
Ami Luttwak, technologie-expert bij Wiz, sluit zich bij het advies aan. “Het is onmogelijk om volledig uit te sluiten dat het lek is misbruikt”, zegt Luttwak tegen Reuters.