👀 Não perca! As ações MAIS baratas para investir agoraVeja as ações baratas

Microsoft alerta milhares de usuários da nuvem sobre exposição de base de dados

Publicado 27.08.2021, 12:22
© Reuters. Logo da Microsoft fotografado em Nova York, EUA 
25/01/2021
REUTERS/Carlo Allegri
MSFT
-
MSFT34
-
WIZC3
-

Por Joseph Menn

SAN FRANCISCO (Reuters) - A Microsoft (NASDAQ:MSFT) alertou na quinta-feira milhares de seus clientes da nuvem, incluindo algumas das maiores empresas do mundo, que intrusos podem ter conseguido a habilidade de ler, mudar ou até deletar suas principais bases de dados, segundo uma cópia do email e um pesquisador de segurança cibernética.

A vulnerabilidade está na base de dados Cosmos DB, carro-chefe do Azure da Microsoft. Uma equipe de pesquisa da empresa de segurança Wiz (SA:WIZS3) descobriu que conseguia acessar chaves que controlam o acesso às bases de dados mantidos por milhares de empresas. O diretor de tecnologia da Wiz, Ami Luttwak, é um ex-diretor de tecnologia do Grupo de Segurança de Nuvem da Microsoft.

Como a Microsoft não pode mudar essas chaves sozinha, enviou um email aos clientes na quinta-feira pedindo para que criassem novas. A Microsoft concordou em pagar 40.000 dólares ao Wiz por encontrar a falha e relatá-la, segundo um email enviado ao Wiz.

"Consertamos o problema imediatamente para manter nossos clientes seguros e protegidos. Agradecemos aos pesquisadores de segurança por trabalharem sob a divulgação coordenada de vulnerabilidade", disse a Microsoft à Reuters.  

O email da Microsoft aos clientes disse que não havia evidência de que a falha havia sido explorada. "Não temos indicação de que entidades externas, além do pesquisador (Wiz), tiveram acesso à chave primária", disse o email.

"Esta é a pior vulnerabilidade de nuvem que você pode imaginar. É um segredo duradouro", disse Luttwak à Reuters. "É a base de dados central do Azure, e nós pudemos ter acesso a qualquer base de dados de consumidores que quiséssemos."

A equipe de Luttwak encontrou o problema, batizado de ChaosDB, em 9 de agosto e notificou a Microsoft em 12 de agosto, afirmou Luttwak.

A falha era na ferramenta de visualização chamada Jupyter Notebook, que está disponível há anos, mas foi ativada por padrão no Cosmos a partir de fevereiro. Após a Reuters publicar a falha, o Wiz detalhou a questão em um blog.

Luttwak afirmou que mesmo consumidores que não foram notificados pela Microsoft poderiam ter tido as suas chaves roubadas por invasores, o que lhes teria dado acesso até que essas chaves fossem modificadas. A Microsoft notificou apenas clientes cujas chaves estavam visíveis este mês, quando o Wiz estava trabalhando no problema.

© Reuters. Logo da Microsoft fotografado em Nova York, EUA 
25/01/2021
REUTERS/Carlo Allegri

Essa revelação chega após meses de notícias ruins no âmbito da segurança para a Microsoft. A empresa foi violada pelos mesmos hackers suspeitos de serem do governo russo que infiltraram o SolarWinds e roubaram o código-fonte da Microsoft. Depois, vários hackers invadiram os servidores de email do Exchange, enquanto um patch estava sendo desenvolvido.

Os problemas com o Azure são especialmente preocupantes porque a Microsoft e especialistas externos de segurança têm pressionado as empresas a abandonar suas próprias infraestruturas e depender da nuvem por mais segurança.

Mas embora ataques à nuvem sejam mais raros, eles podem ser mais devastadores quando ocorrem. E além disso, alguns nunca são divulgados.

Últimos comentários

Instale nossos aplicativos
Divulgação de riscos: Negociar instrumentos financeiros e/ou criptomoedas envolve riscos elevados, inclusive o risco de perder parte ou todo o valor do investimento, e pode não ser algo indicado e apropriado a todos os investidores. Os preços das criptomoedas são extremamente voláteis e podem ser afetados por fatores externos, como eventos financeiros, regulatórios ou políticos. Negociar com margem aumenta os riscos financeiros.
Antes de decidir operar e negociar instrumentos financeiros ou criptomoedas, você deve se informar completamente sobre os riscos e custos associados a operações e negociações nos mercados financeiros, considerar cuidadosamente seus objetivos de investimento, nível de experiência e apetite de risco; além disso, recomenda-se procurar orientação e conselhos profissionais quando necessário.
A Fusion Media gostaria de lembrar que os dados contidos nesse site não são necessariamente precisos ou atualizados em tempo real. Os dados e preços disponíveis no site não são necessariamente fornecidos por qualquer mercado ou bolsa de valores, mas sim por market makers e, por isso, os preços podem não ser exatos e podem diferir dos preços reais em qualquer mercado, o que significa que são inapropriados para fins de uso em negociações e operações financeiras. A Fusion Media e quaisquer outros colaboradores/partes fornecedoras de conteúdo não são responsáveis por quaisquer perdas e danos financeiros ou em negociações sofridas como resultado da utilização das informações contidas nesse site.
É proibido utilizar, armazenar, reproduzir, exibir, modificar, transmitir ou distribuir os dados contidos nesse site sem permissão explícita prévia por escrito da Fusion Media e/ou de colaboradores/partes fornecedoras de conteúdo. Todos os direitos de propriedade intelectual são reservados aos colaboradores/partes fornecedoras de conteúdo e/ou bolsas de valores que fornecem os dados contidos nesse site.
A Fusion Media pode ser compensada pelos anunciantes que aparecem no site com base na interação dos usuários do site com os anúncios publicitários ou entidades anunciantes.
A versão em inglês deste acordo é a versão principal, a qual prevalece sempre que houver alguma discrepância entre a versão em inglês e a versão em português.
© 2007-2024 - Fusion Media Limited. Todos os direitos reservados.