Microsoft waarschuwde enkele van zijn Azure cloud computing-klanten dat een door beveiligingsonderzoekers ontdekte fout hackers toegang tot hun gegevens had kunnen geven.

In een blogpost van het beveiligingsteam zei Microsoft dat het de door Palo Alto Networks gemelde fout had verholpen en dat er geen bewijs was dat kwaadwillende hackers de techniek hadden misbruikt.

Het zei dat het sommige klanten had laten weten dat ze uit voorzorg hun inloggegevens moesten wijzigen.

De blogpost volgde op vragen van Reuters over de door Palo Alto beschreven techniek. Microsoft beantwoordde geen van de vragen, inclusief of het zeker was dat er geen toegang was tot gegevens.

In een eerder interview vertelde Palo Alto-onderzoeker Ariel Zelivansky aan Reuters dat zijn team erin was geslaagd uit het veelgebruikte systeem van Azure te breken voor zogenaamde containers die programma’s voor gebruikers opslaan.

De Azure-containers gebruikten code die niet was bijgewerkt om een ​​bekende kwetsbaarheid te patchen, zei hij.

Als gevolg hiervan kon het Palo Alto-team uiteindelijk de volledige controle krijgen over een cluster met containers van andere gebruikers.

“Dit is de eerste aanval op een cloudprovider die containervlucht gebruikt om andere accounts te controleren”, zegt Ian Coldwater, expert op het gebied van containerbeveiliging, die op verzoek van Reuters het werk van Palo Alto beoordeelde. Palo Alto meldde het probleem in juli aan Microsoft. Zelivansky zei dat de inspanning zijn team enkele maanden had gekost en hij was het ermee eens dat kwaadwillende hackers waarschijnlijk niet een vergelijkbare methode hadden gebruikt bij echte aanvallen.

Toch is het rapport de tweede grote fout die in evenzovele weken in het kernsysteem van Microsoft Azure wordt onthuld. Eind augustus beschreven beveiligingsexperts van Wiz een databasefout waardoor de ene klant ook de gegevens van de andere had kunnen wijzigen.

In beide gevallen was de erkenning van Microsoft gericht op die klanten die op de een of andere manier door de onderzoekers zelf zijn getroffen, in plaats van dat iedereen door zijn eigen code in gevaar werd gebracht.

“Uit voorzorg zijn er meldingen gestuurd naar klanten die mogelijk door de onderzoeksactiviteiten worden getroffen”, schreef Microsoft woensdag.
Coldwater zei dat het probleem het gevolg was van het niet tijdig toepassen van patches, iets waar Microsoft zijn klanten vaak de schuld van geeft.

“Het is erg belangrijk om de code up-to-date te houden”, zegt Coldwater. “Veel van de dingen die deze aanval mogelijk maakten, zouden niet langer mogelijk zijn met moderne software.”

Coldwater zei dat sommige beveiligingssoftware die door cloudklanten wordt gebruikt, kwaadaardige aanvallen zou hebben gedetecteerd, zoals degene die het beveiligingsbedrijf voor ogen had, en dat logs ook tekenen van dergelijke activiteit zouden vertonen.

Het onderzoek onderstreepte de gedeelde verantwoordelijkheid tussen cloudproviders en klanten voor beveiliging.

Zelivansky zei dat cloudarchitecturen over het algemeen veilig zijn, terwijl Microsoft en andere cloudproviders zelf fixes kunnen maken, in plaats van erop te vertrouwen dat klanten updates toepassen.

Maar hij merkte op dat cloudaanvallen door goed gefinancierde tegenstanders, waaronder nationale regeringen, “een terechte zorg” zijn.

Het harde optreden in Zuid-Korea tegen de in-app-factureringsprocessen die bedrijven als Apple en Google dwingen hun app-winkels open te stellen voor alternatieve betalingssystemen, kan de eerste formele ontwikkeling zijn met dergelijke beperkingen voor de technologiebedrijven, maar de beslissing kan als een precedent fungeren voor andere rechtsgebieden, waaronder India, waar nu een klacht is ingediend bij de antitrustregelgever tegen Apple for App Store-beleid.

Zuid-Korea werd dinsdag de eerste jurisdictie die wettelijk de monopolies verbiedt die Apple en Google hebben op betalingen voor in-app-aankopen. De Nationale Assemblee van het land heeft dinsdag wijzigingen aangenomen in de Telecommunications Business Act – bijgenaamd ‘Anti-Google-wet’ – in een mijlpaalbesluit dat wereldwijd zou kunnen veranderen hoe platformbedrijven zoals Google en Apple ontwikkelaars dwingen hun factureringssystemen te gebruiken voor in-app-aankopen.

De eindstemming in de Zuid-Koreaanse Nationale Vergadering was 180 voor van de 188 die aanwezig waren om de amendementen goed te keuren, meldde Reuters. In hun verklaringen aan het persbureau, terwijl Google zei dat het huidige model de apparaatkosten voor consumenten laag houdt door Android gratis te houden, zei Apple dat App Store-aankopen hierdoor zullen afnemen.

Het app-ecosysteem is een bloeiende inkomstenstroom voor platforms zoals Apple en Google, die de meest prominente app-winkels runnen en verplichten dat alle in-app-betalingen via hun eigen verwerkingssysteem gaan, waarop ze commissies in rekening brengen variërend tussen 15% en 30% .

In sommige rechtsgebieden hebben hun regeringen de taak op zich genomen om deze praktijken te onderzoeken, terwijl op sommige plaatsen de app-ontwikkelaars zich uitgesproken hebben tegen de manier waarop deze bedrijven werken, waaronder een grote class action-rechtszaak in de VS tegen Apple, waar een schikkingsovereenkomst is gesloten. voorgesteld. Deze overeenkomst omvat een uitbetaling van $ 100 miljoen en Apple wijzigt zijn App Store-beleid zodat ontwikkelaars via e-mail met hun gebruikers kunnen communiceren over betalingsopties buiten de App Store. Sectorexperts hebben betoogd dat hoewel deze verandering potentieel belangrijk kan zijn voor ontwikkelaars, Apple stopt met wat de ontwikkelaars eigenlijk hebben geëist: een alternatief betalingssysteem en een manier om dit vanuit de app aan de gebruikers te communiceren.

Woensdag kondigde Apple aan dat het nog meer aanpassingen aan de App Store zou uitrollen die een onderzoek door de Japan Fair Trade Commission (JFTC) zouden afsluiten. Met deze update zou Apple ontwikkelaars van ‘reader’-apps toestaan ​​om een ​​in-app-link naar hun website op te nemen zodat gebruikers een account kunnen instellen of beheren. “Terwijl de overeenkomst is gesloten met de JFTC, zal Apple deze wijziging wereldwijd toepassen op alle reader-apps in de winkel. Reader-apps bieden eerder gekochte inhoud of inhoudsabonnementen voor digitale tijdschriften, kranten, boeken, audio, muziek en video”, zei Apple, eraan toevoegend dat de updates begin 2022 zullen worden uitgerold. Reader-apps zijn diensten zoals Netflix, Spotify, Amazon Kindle enz.

Vorig jaar brak Epic Games, de ontwikkelaar van de populaire videogame Fortnite, opzettelijk de regels van Apple en vestigde zijn eigen betalingsverwerkingssysteem op de Fortnite iPhone-app. Dit leidde ertoe dat Apple de game uit de App Store haalde en op zijn beurt spande Epic Games een rechtszaak aan tegen Apple die het bedrijf concurrentiebeperkend noemde. De zaak is ingediend bij de Amerikaanse rechtbank in Noord-Californië. Zelfs in de Europese Unie had de Zweedse muziekstreaming-app Spotify een klacht ingediend tegen Apple wegens het opleggen van oneerlijk beleid – en de regelgever van het blok heeft Apple ervan beschuldigd zijn antitrustwet als gevolg hiervan te hebben geschonden.

Naast het onderzoek door de Europese Commissie naar de praktijken van Apple heeft Europa ook de Digital Markets Act ingevoerd, op grond waarvan grote technologiebedrijven enorme boetes kunnen krijgen voor overtredingen, waaronder het voorrang geven aan hun eigen diensten en producten boven kleinere concurrenten.

Ook Amerikaanse senatoren hebben een nieuwe tweeledige wet ingediend die de beperkingen van Apple en Google voor app-ontwikkelaars wil verbieden. De voorgestelde wetgeving van senatoren Richard Blumenthal, Amy Klobuchar en Marsha Blackburn zou bepaalde contractuele verplichtingen verbieden die app-ontwikkelaars zeggen te moeten accepteren van grote app-winkels om consumenten te bereiken.

Eerder dit jaar zei Google dat het zijn servicekosten voor Play Store, die het app-ontwikkelaars in rekening brengt, zal verlagen tot 15% voor de eerste één miljoen (USD) aan inkomsten. Het tarief van 15% is van toepassing op alle app-ontwikkelaars die in-app-producten of abonnementen of goederen aanbieden en wordt voor elk jaar toegepast. Een gaming-app, die items voor in-app-aankopen aanbiedt, moet bijvoorbeeld 15% inkomsten aan Google betalen voor de eerste $ 1 miljoen inkomsten die het genereert. Voor ontwikkelaars die meer verdienen dan dit bedrag, bedragen de servicekosten 30%.

Maar de aankondiging kwam niet voordat het bedrijf aanzienlijke kritiek kreeg van Indiase ontwikkelaars toen het plannen aankondigde om ontwikkelaars 30 procent vergoeding van de Play Store in rekening te brengen voor alle soorten digitale goederen die binnen de app worden verkocht. Het wilde ook dat ontwikkelaars het Play Store-factureringssysteem zouden implementeren om deze in-app-transacties te vergemakkelijken. Oprichter CEO van India’s grootste betalingsapp Paytm Vijay Shekhar Sharma heeft deze vergoeding herhaaldelijk als een ‘belasting’ bestempeld en de noodzaak aangehaald voor ontwikkelaars in India om hun eigen app store te hebben. Sharma heeft ook de regering en de regelgevers opgeroepen om in te grijpen om dit probleem op te lossen.

De Alliance of Digital India Foundation (ADIF), die de kwestie ook vaak aan de orde heeft gesteld met de commissies van Apple en Google voor app-betalingen, verwelkomde het besluit van Zuid-Korea. “Elke wetgeving over deze kwestie waar ook ter wereld zal een precedent scheppen voor andere landen om over te nemen en op voort te bouwen, en we hopen dat dit nu ook soortgelijke wetgeving door andere regeringen zal bespoedigen. Het gaat altijd om de concurrentiebeperkende praktijken van het afdwingen van een betalingsoptie en het uitsluiten van andere betalingsaanbieders. We sporen de Apples en Googles van de wereld aan om de geest van de wetgeving hoog te houden en in de toekomst een eerlijker beleid te voeren. Oneerlijke markten en concurrentiebeperkende praktijken belemmeren innovatie en hebben op de lange termijn een negatieve invloed op de marktresultaten”, zegt Sijo Kuruvilla George, uitvoerend directeur van ADIF.

Mails die naar Apple en de Competition Commission of India werden gestuurd, leverden geen enkele reactie op.