Cela aurait pu très mal tourner : une faille de sécurité a donné aux attaquants la possibilité de lire, de modifier ou de supprimer complètement des bases de données dans des milliers d' instances Microsoft Azure . Comme par miracle, il ne s'est rien passé. La société de sécurité Wiz a découvert la vulnérabilité dans Cosmos DB et a averti Microsoft. Selon un rapport de l' agence de presse Reuters, les chercheurs en sécurité ont pu accéder aux clés cryptographiques avec lesquelles les utilisateurs légitimes s'identifient à l'instance de base de données respective. Dans le pire des cas, cela aurait pu entraîner la disparition soudaine ou la manipulation des bases de données des applications de milliers d'entreprises de toutes tailles.

On ne sait pas exactement combien de temps le problème a duré. Cependant, la vulnérabilité a dû être dormante dans le système pendant longtemps, jusqu'à ce qu'elle soit heureusement découverte par des experts bien intentionnés. "Nous n'avons aucune preuve que des personnes extérieures, à l'exception des chercheurs en sécurité, aient eu accès aux clés primaires de lecture-écriture", indique un e-mail que Microsoft a envoyé par précaution à tous les clients des services Azure concernés. Dans sa lettre aux clients, Microsoft leur a demandé de générer de nouvelles clés d'accès. Cela ne peut pas être fait par le fournisseur, mais relève de la responsabilité de l'utilisateur respectif des instances de base de données. Ceci est conseillé car, malgré le manque de preuves, il ne peut bien entendu pas être totalement exclu qu'un attaquant n'ait pas eu accès aux clés.