Microsoft ha alertado a miles de empresas que utilizan la nube de Microsoft Azure que exisitó una vulnerabilidad que dejó expuestos todos los datos durante los últimos dos años. Entre las compañías afectadas se encuentran Coca-Cola, Liberty Mutual Insurance y Walgreens, entre otras. 

En concreto, los datos de 3.300 clientes de este servicio fueron expuestos debido a un probema con el producto de base de datos Azure Cosmos DB de Microsoft. Esta vulnerabilidad empezó en 2019, momento en el que Microsoft añadió una nueva característica de visualización de datos, Jupyter Notebook, a Cosmos DB. Dicha función empezó a estar de forma predeterminada en todas las bases de Cosmos a partir de febrero de este año.

vulnerabilidad Microsoft Azure

Ami Luttwak, directora de tecnología de Wiz, la compañía de seguridad que alertó del problema, asegura que esta es la «peor vulnerabilidad en la nube que puedas imaginar». «Esta es la base de datos central de Azure, y pudimos acceder a cualquier base de datos de clientes que queríamos», afirma Luttwak.

De hecho, Wiz, explica que esta vulnerabilidad lo que permitía era el acceso a las claves que protegían las bases de datos de Cosmos DB. Por ello, debido al acceso a estas claves, Wiz podía acceder a las funciones de lectura, escritura y eliminación de todos los clientes de Microsoft Azure afectados.

vulnerabilidad Microsoft Azure
Tener acceso a las funciones de lectura, escritura y eliminación de un archivo es, a efectos prácticos, tener acceso a eliminar o modificar el trabajo de una empresa. Por ello, la importancia de evitar cualquier tipo de vulnerabilidad.

Por el momento, Microsoft sostiene que no existe ninguna evidencia que lleve a pensar que hubo acceso a estos datos por parte de terceros. Es decir, no existe ninguna certeza de que se haya accedido a los datos de los clientes debido a este fallo. «Nuestra investigación no muestra ningún acceso no autorizado que no sea la actividad del investigador», apostilla Microsoft.

La compañía resolvió la vulnerabilidad de Microsoft Azure en menos de 48 horas, pero no puede cambiar las claves principales de acceso de sus clientes. Es por ello que ha enviado un correo electrónico a los usuarios de Cosmos DB para que cambien sus claves con el objetivo de evitar que sus datos estén expuestos.

Vía: The Verge