• Microsoft advirtió el jueves a miles de sus clientes en la nube, incluidas algunas empresas, sobre la existencia de intrusos.
  • La compañía envió un correo electrónico a los clientes pidiéndoles que crearan nuevas contraseñas para proteger sus cuentas.
  • El correo electrónico de Microsoft decía que no había evidencias de que la falla se ejecutó.

Microsoft advirtió el jueves a miles de sus clientes en la nube, incluidas algunas empresas, sobre la existencia de intrusos que podrían ser leer, cambiar o incluso eliminar sus bases de datos principales.

La vulnerabilidad está en la base de datos insignia Cosmos DB de Microsoft Azure.

Un equipo de investigación de la empresa de seguridad Wiz descubrió que podía acceder a las claves que controlan el acceso a las bases de datos de miles de empresas.

Ami Luttwak, directora de tecnología de Wiz, es una exdirectora de tecnología del Grupo de Seguridad en la Nube de Microsoft.

Microsoft pidió a sus clientes crear nuevas claves

Como Microsoft no puede cambiar esas claves por sí mismo, envió un correo electrónico a los clientes el jueves pidiéndoles que crearan nuevas.

Microsoft acordó pagar a Wiz 40,000 dólares por encontrar la falla e informarla, según un correo electrónico que envió a esta firma.

«Solucionamos este problema de inmediato para mantener a nuestros clientes seguros y protegidos. Agradecemos a los investigadores de seguridad por trabajar bajo la divulgación coordinada de vulnerabilidades«, dijo Microsoft a Reuters.

El correo electrónico de Microsoft a los clientes decía que no había evidencias de que la falla se ejecutó.

«No tenemos indicios de que entidades externas fuera del investigador (Wiz) tuvieran acceso a la clave primaria de lectura y escritura», indicó la comunicación.

«Esta es la peor vulnerabilidad en la nube que se pueda imaginar. Es un secreto duradero. Esta es la base de datos central de Azure y pudimos acceder a cualquier base de datos de clientes que quisiéramos», dijo Luttwak a Reuters.

¿Cuál fue el problema que se encontró en la nube de Microsoft?

El equipo de Luttwak encontró el problema, denominado ChaosDB, el 9 de agosto y notificó a Microsoft el 12 de agosto, dijo Luttwak.

La falla estaba en una herramienta de visualización llamada Jupyter Notebook, que ha estado disponible durante años, pero estaba habilitada de manera predeterminada en Cosmos a partir de febrero.

Después de que Reuters informara sobre la falla, Wiz detalló el problema en una publicación de blog.

Luttwak dijo que incluso los clientes que no han sido notificados por Microsoft podrían haber tenido sus claves robadas por los atacantes, dándoles acceso hasta que se cambien esas claves. Microsoft solo avisó a los clientes con las claves expuestas este mes, cuando Wiz estaba trabajando en el problema.

Microsoft dijo a Reuters que «los clientes que pueden haber sido afectados recibieron una notificación de nuestra parte», sin dar más detalles.

Con información de Reuters

AHORA LEE: Netflix inicia pruebas de su servicio de videojuegos móviles en Polonia

TAMBIÉN LEE: Tesla solicita vender electricidad en Texas

Descubre más historias en Business Insider México

Síguenos en FacebookInstagramLinkedInTwitter y Youtube

AHORA MIRA: