Una empresa de seguridad descubrió un problema que les permitía acceder a una gran cantidad de datos de los clientes de los servicios en la nube de Microsoft Azure y dijeron que es la “peor vulnerabilidad en la nube que pueda imaginar”. Microsoft afirma que no tiene conocimiento de que actores maliciosos hayan aprovechado el fallo de seguridad.
La empresa que descubrió la falla pudo acceder a las bases de datos y tenía la capacidad no solo de ver el contenido sino también de cambiar y eliminar información de la base de datos de Cosmos.
Fue un equipo de investigación de la firma de seguridad Wiz quien descubrió que pudieron acceder a las claves que controlan el acceso a las bases de datos de miles de empresas. El director de tecnología de Wiz, Ami Luttwak, es un ex gerente dentro del grupo de seguridad en la nube de Microsoft, por lo que también jugó con ventaja a la hora de descubrir la falla.
Para acceder a la base de datos de Cosmos, primero, la empresa de seguridad obtuvo acceso a las claves primarias de la base de datos del cliente. Cabe recordar que en 2019, Microsoft agregó una función llamada Jupyter Notebook a la base de datos de Cosmos que permite a los clientes visualizar sus datos y crear vistas personalizadas. La función se habilitó automáticamente para todas las bases de datos de Cosmos en febrero de 2021.
Wiz recuerda que algunas de las empresas que utilizan esta base de datos de Cosmos son gigantes como Coca-Cola, Exxon-Mobil y Citrix, como se puede comprobar en la propia web oficial de este servicio.
Microsoft no puede cambiar estas claves
Dado que Microsoft no puede cambiar esas claves por sí mismo, el jueves envió un correo electrónico a los clientes pidiéndoles que crearan otras nuevas. Microsoft acordó pagarle a Wiz 40.000 dólares por encontrar el error e informarlo. Los funcionarios de Microsoft no han hecho más comentarios sobre el problema de seguridad.
En un correo electrónico que Microsoft envió a Wiz, la compañía dice que había solucionado la vulnerabilidad y que no había evidencia que demostrara que el error había sido explotado. “No tenemos indicios de que entidades externas ajenas al investigador (Wiz) tuvieran acceso a la clave principal de lectura y escritura”, dice el correo.
“Esta es la peor vulnerabilidad en la nube que puedas imaginar. Es un secreto duradero”, afirma Ami Luttwak, director de tecnología de Wiz. “Esta es la base de datos central de Azure y pudimos acceder a cualquier base de datos de clientes que quisiéramos”, añade.
