Microsoft Azure expõe dados de todos os clientes em grave falha de segurança
Por Felipe Gugelmin | Editado por Claudio Yuge | 27 de Agosto de 2021 às 22h20
A Microsoft emitiu na última quinta-feira (26) um alerta a seus clientes corporativos sobre uma vulnerabilidade da plataforma em nuvem Azure que expôs seus bancos de dados à ação de criminosos. Segundo a empresa, o problema permitiria que um atacante lesse, editasse ou até mesmo apagasse permanentemente documentos armazenados no sistema não relacional Cosmos DB.
- Grupo criminoso mira sudeste da Ásia com ataques de sequestro digital
- 70% das empresas não confiam em capacidade de se recuperar após ciberataques
- Google e Microsoft prometem US$ 30 bilhões para ajudar EUA contra o cibercrime
Um time da empresa de segurança Wiz descobriu que a brecha podia ser explorada para acessar chaves que controlavam o acesso a bancos de dados de milhares de companhias. O problema é considerado grave, especialmente porque a empresa não tem a capacidade de mudar as chaves potencialmente comprometidas — essa ação deve ser feita pelos próprios clientes afetados.
Em um comunicado enviado à Reuters, a Microsoft afirma que já resolveu o problema com ajuda da Wiz, que recebeu uma recompensa de US$ 40 mil (R$ 208) por contribuir com a descoberta e sua notificação. “Agradecemos aos pesquisadores de segurança por trabalhar sob a coordenação de divulgação de ameaças”, afirmou a empresa.
Na mensagem enviada a seus clientes, a companhia de Seattle afirmou que não há sinais de que a brecha tenha sido ativamente explorada, e que somente a Wiz teve acesso aos bancos de dados. Segundo o chefe de tecnologia da empresa de segurança, Ami Luttwak, a descoberta era a maior vulnerabilidade de nuvem imaginável e garantia acesso aos dados de qualquer consumidor que assinava o Azure.
Clientes podem ter sido afetados
A Wiz descobriu a falha no dia 9 de agosto e a relatou par aa Microsoft no dia 12 do mesmo mês. O problema foi encontrado na ferramenta Jupyter Notebook, que foi habilitada na Cosmos DB em fevereiro deste ano. Enquanto a Microsoft afirma que nenhum cliente foi afetado, a empresa de segurança alerta que nomes que não foram notificados podem ter sido comprometidos, mas não têm consciência disso.
O problema surge em um momento no qual o Microsoft 365 e outros sistemas de nuvem oferecidos pela corporação têm sido vítimas de ataques e golpes em ritmo frequente. A situação é especialmente preocupante para grandes corporações, que encontram na nuvem e serviços online uma forma de terceirizar custos e agilizar processos — e que dependem da segurança oferecida por eles para proteger dados relacionados tanto a elas quanto a clientes e fornecedores.