Wiz, una empresa de ciberseguridad, descubrió una vulnerabilidad en la nube de Azure de Microsoft, la cual les permitió tener acceso a una gran cantidad de datos de los clientes mediante la base de datos Cosmos; la big tech asegura que no tiene constancia de que la falla haya sido aprovechada por hackers maliciosos.
Te podría interesar
- Ciberseguridad
Joe Biden urge a las big tech mejorar ciberseguridad ante ataques cibernéticos
- NSO Group y Pegasus
NSO Group: la historia de la empresa de ciberseguridad que ahora es observada por el caso Pegasus
- Ciberseguridad
¿Por qué la ciberseguridad sigue siendo el talón de aquiles de la industria financiera?
Así fue como Wiz descubrió el fallo de ciberseguridad en la nube de Microsoft Azure
El equipo de investigación de Wiz pudo acceder a las bases de datos alojadas en la nube, ver el contenido, incluso podían cambiar y borrar información data Cosmos de Microsoft Azure.
Asimismo, Wiz reveló que accedió a las claves que controlan el ingreso a las bases de datos de miles de empresas; obtuvo acceso a las claves primarias de data de los clientes, estas son fundamentales para los ciberataques ya que son de larga duración y permiten un acceso completo de lectura, escritura y borrado de la información.
En 2019 Microsoft agregó Jupyter Notebook a Cosmos DB, una herramienta que permite a los clientes visualizar sus datos, así como crear vistas personalizadas, así fue como obtuvo acceso. Esta característica se activó de manera automática en febrero de 2021.
Algunas de las empresas que usan Cosmos son Coca-Cola, Exxon-Mobil y Citrix.
Microsoft advierte a empresas que cambien claves
Debido a que Microsoft no puede cambiar las claves que pudieron estar expuestas a ciberatacantes, este 28 de agosto envió un correo electrónico a los clientes pidiendo que crearan nuevas claves.
En ese contexto, Microsoft acordó pagar a Wiz 40,000 dólares por encontrar la vulnerabilidad y reportarla, según un email que envió a Wiz, sin embargo Microsoft no han comentado de manera pública el grabe problema de ciberseguridad.
"Esta es la peor vulnerabilidad en la nube que se pueda imaginar [...] Esta es la base de datos central de Azure y en nuestra investigación pudimos acceder a cualquier base de datos de todos los clientes que quisiéramos", dijo Ami Luttwak, director de tecnología de Wiz, a Reuters.
El equipo de Wiz halló la vulnerabilidad llamada ChaosDB el 9 de agosto y lo notificó a Microsoft el 12 de agosto. En tanto, a través de un correo, Microsoft comentó que había corregido la vulnerabilidad y que no existen pruebas de que el fallo hubiera sido explotado.
"No tenemos indicios de que entidades externas al investigador (Wiz) hayan tenido acceso a la clave principal de lectura y escritura", dice el correo.
Cabe mencionar, esta misma semana el presidente de estados unidos, Joe Biden, pidio a los directivos ejecutivos de grandes empresas estadounidenses que mejoraran la ciberseguridad.
En la reunión estuvo Satya Nadella, CEO de Microsoft, quien se comprometió a invertir 20,000 millones de dólares en los próximos cinco años, una cifra cuatro veces más que lo que en la actualidad invierte en ciberseguridad. Además de desembolsar 150 millones de dólares en servicios técnicos para ayudar al estado a mantener actualizados sus sistemas de seguridad.
Sigue a Heraldo Binario en Google News, dale CLIC AQUÍ.