/ jueves 26 de agosto de 2021

Microsoft advierte a clientes en la nube sobre bases de datos expuestas

Un equipo de investigación de la empresa de seguridad Wiz descubrió que podía acceder a las claves que controlan el acceso a las bases de datos de miles de empresas

Microsoft advirtió a miles de sus clientes en la nube, incluidas algunas de las empresas más grandes del mundo, sobre la existencia de intrusos podrían ser capaces de leer, cambiar o incluso eliminar sus bases de datos principales, según una copia del correo electrónico y un investigador de seguridad cibernética.

La vulnerabilidad está en la base de datos insignia Cosmos DB de Microsoft Azure. Un equipo de investigación de la empresa de seguridad Wiz descubrió que podía acceder a las claves que controlan el acceso a las bases de datos de miles de empresas. Ami Luttwak, directora de tecnología de Wiz, es una exdirectora de tecnología del Grupo de Seguridad en la Nube de Microsoft .

Como Microsoft no puede cambiar esas claves por sí mismo, envió un correo electrónico a los clientes el jueves pidiéndoles que crearan nuevas. Microsoft acordó pagar a Wiz 40.000 dólares por encontrar la falla e informarla, según un correo electrónico que envió a esta firma.

"Solucionamos este problema de inmediato para mantener a nuestros clientes seguros y protegidos. Agradecemos a los investigadores de seguridad por trabajar bajo la divulgación coordinada de vulnerabilidades", dijo Microsoft a Reuters.

El correo electrónico de Microsoft a los clientes decía que no había evidencias de que la falla hubiera sido explotada. "No tenemos indicios de que entidades externas fuera del investigador (Wiz) tuvieran acceso a la clave primaria de lectura y escritura", indicó la comunicación.

"Esta es la peor vulnerabilidad en la nube que se pueda imaginar. Es un secreto duradero", dijo Luttwak a Reuters. "Esta es la base de datos central de Azure y pudimos acceder a cualquier base de datos de clientes que quisiéramos".

El equipo de Luttwak encontró el problema, denominado ChaosDB, el 9 de agosto y notificó a Microsoft el 12 de agosto, dijo Luttwak.

La falla estaba en una herramienta de visualización llamada Jupyter Notebook, que ha estado disponible durante años, pero estaba habilitada de manera predeterminada en Cosmos a partir de febrero. Después de que Reuters informara sobre la falla, Wiz detalló el problema en una publicación de blog.

Luttwak dijo que incluso los clientes que no han sido notificados por Microsoft podrían haber tenido sus claves robadas por los atacantes, dándoles acceso hasta que se cambien esas claves. Microsoft solo avisó a los clientes con las claves expuestas este mes, cuando Wiz estaba trabajando en el problema.

Microsoft dijo a Reuters que "los clientes que pueden haber sido afectados recibieron una notificación de nuestra parte", sin dar más detalles.

Microsoft advirtió a miles de sus clientes en la nube, incluidas algunas de las empresas más grandes del mundo, sobre la existencia de intrusos podrían ser capaces de leer, cambiar o incluso eliminar sus bases de datos principales, según una copia del correo electrónico y un investigador de seguridad cibernética.

La vulnerabilidad está en la base de datos insignia Cosmos DB de Microsoft Azure. Un equipo de investigación de la empresa de seguridad Wiz descubrió que podía acceder a las claves que controlan el acceso a las bases de datos de miles de empresas. Ami Luttwak, directora de tecnología de Wiz, es una exdirectora de tecnología del Grupo de Seguridad en la Nube de Microsoft .

Como Microsoft no puede cambiar esas claves por sí mismo, envió un correo electrónico a los clientes el jueves pidiéndoles que crearan nuevas. Microsoft acordó pagar a Wiz 40.000 dólares por encontrar la falla e informarla, según un correo electrónico que envió a esta firma.

"Solucionamos este problema de inmediato para mantener a nuestros clientes seguros y protegidos. Agradecemos a los investigadores de seguridad por trabajar bajo la divulgación coordinada de vulnerabilidades", dijo Microsoft a Reuters.

El correo electrónico de Microsoft a los clientes decía que no había evidencias de que la falla hubiera sido explotada. "No tenemos indicios de que entidades externas fuera del investigador (Wiz) tuvieran acceso a la clave primaria de lectura y escritura", indicó la comunicación.

"Esta es la peor vulnerabilidad en la nube que se pueda imaginar. Es un secreto duradero", dijo Luttwak a Reuters. "Esta es la base de datos central de Azure y pudimos acceder a cualquier base de datos de clientes que quisiéramos".

El equipo de Luttwak encontró el problema, denominado ChaosDB, el 9 de agosto y notificó a Microsoft el 12 de agosto, dijo Luttwak.

La falla estaba en una herramienta de visualización llamada Jupyter Notebook, que ha estado disponible durante años, pero estaba habilitada de manera predeterminada en Cosmos a partir de febrero. Después de que Reuters informara sobre la falla, Wiz detalló el problema en una publicación de blog.

Luttwak dijo que incluso los clientes que no han sido notificados por Microsoft podrían haber tenido sus claves robadas por los atacantes, dándoles acceso hasta que se cambien esas claves. Microsoft solo avisó a los clientes con las claves expuestas este mes, cuando Wiz estaba trabajando en el problema.

Microsoft dijo a Reuters que "los clientes que pueden haber sido afectados recibieron una notificación de nuestra parte", sin dar más detalles.

OMG!

YosStop queda en libertad y sale de Santa Martha Acatitla

La youtuber Yoseline Hoffman había sido vinculada a proceso el pasado 5 de julio por pornografía infantil

Finanzas

Peso tiene su peor caída mensual desde que inició la pandemia

De acuerdo con datos de Banxico, la moneda nacional perdió frente al dólar para cerrar el mes cotizando en alrededor de 21.46 unidades

Mundo

Ómicron llega a AL; Brasil reporta los dos primeros casos

La agencia calificadora describió a la variante Ómicron como un impulsor de la volatilidad del mercado financiero

Literatura

FIL Guadalajara despide a Almudena Grandes con "Noches de boda" de Joaquín Sabina

La canción de Sabina se escuchó no con tristeza, sino en una suerte de fiesta espontánea organizada por la editorial Planeta para recordar a la también columnista Elena Poniatowska

Futbol

Autorizan el 100% de capacidad para semifinal de León vs Tigres en el Estadio Nou Camp

La venta de accesos digitales inició este martes con disponibilidad exclusiva para abonados quienes podrán adquirir tres boletos por Fierabono hasta este miércoles

Política

Expresidentes latinoamericanos piden a Morena no fallar para transformar a México

Durante la participación de los exfuncionarios se destacó la propuesta de López Obrador para implementar un plan mundial para acabar con la pobreza

OMG!

YosStop queda en libertad y sale de Santa Martha Acatitla

La youtuber Yoseline Hoffman había sido vinculada a proceso el pasado 5 de julio por pornografía infantil

Ciencia

Jessica Watkins, la primera mujer negra que trabajará como astronauta para la NASA

La mujer astronauta declaró que espera que su participación en la misión de la NASA inspire a los niños negros de futuras generaciones

Literatura

Es crítico el panorama de la industria editorial en México

Las ventas de libros cayeron un 20 por ciento y su producción un 11.6 por ciento el año pasado, reporta la Caniem