Los investigadores de seguridad señalan una falla de seguridad en el servicio de Microsoft Azure.
Después de ser alertado por los investigadores de seguridad de Wiz, la firma de Redmond ha notificado a más de 3.300 clientes de Microsoft Azure (incluidos Coca-Cola, Citrix, Skype, Symantec, Rolls-Royce o incluso ExxonMobil) utilizando el sistema Jupyter Notebook a través de Cosmos DB que una violación de seguridad había permitido el acceso a sus bases de datos durante los últimos dos años.
Según Ami Luttwak, CTO de Wiz, esta sería la peor vulnerabilidad en la nube que puedas imaginar. Esta es la base de datos central de Azure y pudimos acceder a cualquier base de datos de clientes que quisiéramos. La falla permitió el acceso a las claves que protegen las bases de datos y dio acceso completo (leer, escribir, borrar) información de los clientes. Por su parte, Microsoft (que recompensó a Wiz con hasta 40.000 dólares) indica que corrigió la falla 48 horas después del informe y pidió a las firmas clientes que modificaran las principales claves de acceso. Microsoft también afirma que actualmente no hay evidencia de que esta falla esté siendo explotada por actores malintencionados.
Fuente
