Exclusiva-microsoft advierte a miles de clientes en la nube de bases de datos expuestas
agencias
Por Joseph Menn
San francisco, eeuu, 26 ago (reuters) – microsoft advirtió
el jueves a miles de sus clientes en la nube, incluidas algunas
de las empresas más grandes del mundo, sobre la existencia de
intrusos podrían ser capaces de leer, cambiar o incluso eliminar
sus bases de datos principales, según una copia del correo
electrónico y un investigador de seguridad cibernética.
La vulnerabilidad está en la base de datos insignia Cosmos
DB de Microsoft Azure. Un equipo de investigación de la empresa
de seguridad Wiz descubrió que podía acceder a las claves que
controlan el acceso a las bases de datos de miles de empresas.
Ami Luttwak, directora de tecnología de Wiz, es una exdirectora
de tecnología del Grupo de Seguridad en la Nube de Microsoft
.
Como Microsoft no puede cambiar esas claves por sí mismo,
envió un correo electrónico a los clientes el jueves pidiéndoles
que crearan nuevas. Microsoft acordó pagar a Wiz 40.000 dólares
por encontrar la falla e informarla, según un correo electrónico
que envió a esta firma.
«Solucionamos este problema de inmediato para mantener a
nuestros clientes seguros y protegidos. Agradecemos a los
investigadores de seguridad por trabajar bajo la divulgación
coordinada de vulnerabilidades», dijo Microsoft a Reuters.
El correo electrónico de Microsoft a los clientes decía que
no había evidencias de que la falla hubiera sido explotada. «No
tenemos indicios de que entidades externas fuera del
investigador (Wiz) tuvieran acceso a la clave primaria de
lectura y escritura», indicó la comunicación.
«Esta es la peor vulnerabilidad en la nube que se pueda
imaginar. Es un secreto duradero», dijo Luttwak a Reuters. «Esta
es la base de datos central de Azure y pudimos acceder a
cualquier base de datos de clientes que quisiéramos».
El equipo de Luttwak encontró el problema, denominado
ChaosDB, el 9 de agosto y notificó a Microsoft el 12 de agosto,
dijo Luttwak.
La falla estaba en una herramienta de visualización llamada
Jupyter Notebook, que ha estado disponible durante años, pero
estaba habilitada de manera predeterminada en Cosmos a partir de
febrero. Después de que Reuters informara sobre la falla, Wiz
detalló el problema en una publicación de blog.
Luttwak dijo que incluso los clientes que no han sido
notificados por Microsoft podrían haber tenido sus claves
robadas por los atacantes, dándoles acceso hasta que se cambien
esas claves. Microsoft solo avisó a los clientes con las claves
expuestas este mes, cuando Wiz estaba trabajando en el problema.
Microsoft dijo a Reuters que «los clientes que pueden haber
sido afectados recibieron una notificación de nuestra parte»,
sin dar más detalles.
(Editado en español por Carlos Serrano)
https://www.lanacion.com.ar/agencias/exclusiva-microsoft-advierte-a-miles-de-clientes-en-la-nube-de-bases-de-datos-expuestas-nid26082021/
Compartilo en Twitter
Compartilo en WhatsApp
Leer en https://www.lanacion.com.ar/agencias/exclusiva-microsoft-advierte-a-miles-de-clientes-en-la-nube-de-bases-de-datos-expuestas-nid26082021/