A Microsoft alertou milhares de usuários sobre seus serviços em nuvem que os invasores podem ler, modificar e até mesmo excluir as informações armazenadas. As vítimas potenciais incluem corporações globais.
Reuters.com
A vulnerabilidade foi descoberta no banco de dados “carro-chefe” do Cosmos DB do serviço de nuvem mais popular do Microsoft Azure. Os especialistas da empresa de segurança cibernética Wiz conseguiram obter chaves para controlar o acesso a bancos de dados de milhares de empresas. Notavelmente, o ex-CTO do Microsoft Cloud Security Group Ami Luttwak é um dos fundadores e CTO da Wiz.
Como a Microsoft não pode alterar as chaves por conta própria, eles enviaram alertas para as empresas afetadas pedindo-lhes que criassem novas, e a Wiz receberá US $ 40.000 (nada particularmente alto para esse tipo de negócio) para descobrir a vulnerabilidade.
De acordo com a Microsoft, a empresa “curou” imediatamente o problema e não há evidências de que, além dos pesquisadores do Wiz, alguém tentou explorar a falha de segurança. De acordo com Luttwak, esta é a pior vulnerabilidade imaginável – os pesquisadores podem acessar os dados de qualquer empresa em um banco de dados “central” do Azure. Segundo ele, o problema, batizado de ChaosDB, foi descoberto no dia 9 de agosto e, no dia 12 de agosto, a empresa relatou à Microsoft.
A origem do problema era a ferramenta de visualização do Jupyter Notebook, que está disponível há muitos anos, mas só foi ativada por padrão desde fevereiro deste ano. Luttwak também observou que as chaves devem ser alteradas mesmo para os usuários que não foram notificados pela Microsoft – é possível que suas chaves também possam ser acessadas. A Microsoft diz que já notificou todos os que o seguem.
A vulnerabilidade mais recente é apenas um em uma série de problemas da Microsoft nos últimos meses. Dito isso, os problemas do Azure são uma preocupação particular, pois a Microsoft e especialistas de terceiros recomendam fortemente que as empresas migrem para serviços em nuvem “mais seguros”, abandonando sua própria infraestrutura de armazenamento.