Tecnología

Un fallo de Microsoft dejó expuestos los datos de miles de empresas durante dos años

  • No hay indicios de que los datos hayan sido accedidos por atacantes
  • Afecta a grandes empresas que usan la nube de Microsoft

Microsoft ha advertido a los clientes de su servicio en la nube Azure que una vulnerabilidad permitió el acceso a sus datos sin restricción alguna.

En concreto, el 'bug' estaba en el servicio de bases de datos, Azure Cosmos DB, y fue introducido por error en el 2019, cuando Microsoft añadió una nueva funcionalidad de visualización de datos llamada Jupyter Notebook. Aunque inicialmente sólo estaba disponible si se activaba manualmente, desde el pasado mes de febrero de 2021 está activa por defecto en todas las cuentas de Cosmos DB.

Cosmos DB es usada por algunas de las empresas más grandes del planeta, incluyendo Coca-Cola, Exxom-Mobil, ABB, Citrix, BMI y muchas más, algunas dentro de la lista Fortune 500. La vulnerabilidad ha afectado a 3.300 clientes, los cuales ya han sido avisados por Microsoft de que sus datos quedaron expuestos. Sin embargo, la compañía también ha aclarado que no tiene pruebas de que la vulnerabilidad haya sido aprovechada por usuarios maliciosos, y que no es consciente de ningún acceso a los datos de los clientes de esta manera, según Reuters.

La descubridora de este agujero de seguridad fue Wiz, una empresa de ciberseguridad que en su blog explica los detalles técnicos del problema, que se reducen a una mala configuración del servicio que permitió que cualquiera pudiese descargar, borrar y manipular las bases de datos almacenadas en el servicio, además de acceder a la arquitectura de Cosmos DB.

Wiz ha hecho pública esta vulnerabilidad después de avisar a Microsoft y que esta deshabilitase la función, apenas 48 horas después; aunque Wiz elogia la rapidez de la reacción, también critica el hecho de que la vulnerabilidad no esté completamente cerrada aún. Si un atacante hubiese podido acceder a las bases de datos de esta manera, aún tendría las claves de acceso; Microsoft no puede cambiarlas manualmente, y por eso ha contactado con los clientes, para pedirles que las cambien y evitar futuros accesos indebidos, siempre en el supuesto de que alguien más haya descubierto este 'bug' antes que Wiz.

Por el momento, parece que sólo los investigadores de Wiz descubrieron la vulnerabilidad, y la pudieron aprovechar para entrar en bases de Azure; afirman que fueron capaces de acceder a cualquier base de datos que quisieran, y por eso, llaman a esta la "peor vulnerabilidad que puedas imaginar".

comentarios0WhatsAppWhatsAppFacebookFacebookTwitterTwitterLinkedinlinkedin