Investing.com - El Portal Financiero Líder
Consiga un 40% de descuento
Consiga un 40% de descuento

EXCLUSIVA-Microsoft advierte a miles de clientes en la nube de bases de datos expuestas

Publicado 27.08.2021, 03:36
© Reuters. Imagen de archivo de un logo de Microsoft en una tienda de Nueva York, EEUU. 25 enero 2021. REUTERS/Carlo Allegri

Por Joseph Menn

SAN FRANCISCO, EEUU, 26 ago (Reuters) - Microsoft (NASDAQ:MSFT) advirtió el jueves a miles de sus clientes en la nube, incluidas algunas de las empresas más grandes del mundo, sobre la existencia de intrusos podrían ser capaces de leer, cambiar o incluso eliminar sus bases de datos principales, según una copia del correo electrónico y un investigador de seguridad cibernética.

La vulnerabilidad está en la base de datos insignia Cosmos DB de Microsoft Azure. Un equipo de investigación de la empresa de seguridad Wiz descubrió que podía acceder a las claves que controlan el acceso a las bases de datos de miles de empresas. Ami Luttwak, directora de tecnología de Wiz, es una exdirectora de tecnología del Grupo de Seguridad en la Nube de Microsoft.

Como Microsoft no puede cambiar esas claves por sí mismo, envió un correo electrónico a los clientes el jueves pidiéndoles que crearan nuevas. Microsoft acordó pagar a Wiz 40.000 dólares por encontrar la falla e informarla, según un correo electrónico que envió a esta firma.

"Solucionamos este problema de inmediato para mantener a nuestros clientes seguros y protegidos. Agradecemos a los investigadores de seguridad por trabajar bajo la divulgación coordinada de vulnerabilidades", dijo Microsoft a Reuters.

El correo electrónico de Microsoft a los clientes decía que no había evidencias de que la falla hubiera sido explotada. "No tenemos indicios de que entidades externas fuera del investigador (Wiz) tuvieran acceso a la clave primaria de lectura y escritura", indicó la comunicación.

"Esta es la peor vulnerabilidad en la nube que se pueda imaginar. Es un secreto duradero", dijo Luttwak a Reuters. "Esta es la base de datos central de Azure y pudimos acceder a cualquier base de datos de clientes que quisiéramos".

Este es un anuncio de terceros. No es una oferta o recomendación de Investing.com. Lea la normativa aqui o elimine la publicidad .

El equipo de Luttwak encontró el problema, denominado ChaosDB, el 9 de agosto y notificó a Microsoft el 12 de agosto, dijo Luttwak.

La falla estaba en una herramienta de visualización llamada Jupyter Notebook, que ha estado disponible durante años, pero estaba habilitada de manera predeterminada en Cosmos a partir de febrero. Después de que Reuters informara sobre la falla, Wiz detalló el problema en una publicación de blog.

Luttwak dijo que incluso los clientes que no han sido notificados por Microsoft podrían haber tenido sus claves robadas por los atacantes, dándoles acceso hasta que se cambien esas claves. Microsoft solo avisó a los clientes con las claves expuestas este mes, cuando Wiz estaba trabajando en el problema.

Microsoft dijo a Reuters que "los clientes que pueden haber sido afectados recibieron una notificación de nuestra parte", sin dar más detalles.

 

(Editado en español por Carlos Serrano)

Últimos comentarios

Pasen a la nube de SIA y se acabó el problema. Descentralizada y cifrada,sin punto de falla única.
Lo mejor es lo de toda la vida, dos discos duros que se hacen autocopia
Microsoft es el mayor virus del mundo, empecemos por ahí.
Instala nuestra app
Aviso legal: Las operaciones con instrumentos financieros o criptomonedas implican un elevado riesgo, incluyendo la pérdida parcial o total del capital invertido, y pueden no ser adecuadas para todos los inversores. Los precios de las criptomonedas son extremadamente volátiles y pueden verse afectados por factores externos de tipo financiero, regulatorio o político. Operar sobre márgenes aumenta los riesgos financieros.
Antes de lanzarse a invertir en un instrumento financiero o criptomoneda, infórmese debidamente de los riesgos y costes asociados a este tipo operaciones en los mercados financieros. Fije unos objetivos de inversión adecuados a su nivel de experiencia y su apetito por el riesgo y, siempre que sea necesario, busque asesoramiento profesional.
Fusion Media quiere recordarle que la información contenida en este sitio web no se ofrece necesariamente ni en tiempo real ni de forma exacta. Los datos y precios de la web no siempre proceden de operadores de mercado o bolsas, por lo que los precios podrían diferir del precio real de cualquier mercado. Son precios orientativos que en ningún caso deben utilizarse con fines bursátiles. Ni Fusion Media ni ninguno de los proveedores de los datos de esta web asumen responsabilidad alguna por las pérdidas o resultados perniciosos de sus operaciones basados en su confianza en la información contenida en la web.
Queda prohibida la total reproducción, modificación, transmisión o distribución de los datos publicados en este sitio web sin la autorización previa por escrito de Fusion Media y/o del proveedor de los mismos. Todos los derechos de propiedad intelectual están reservados a los proveedores y/o bolsa responsable de dichos los datos.
Fusion Media puede recibir contraprestación económica de las empresas que se anuncian en la página según su interacción con éstas o con los anuncios que aquí se publican.
Este aviso legal está traducido de su texto original en inglés, versión que prevalecerá en caso de conflicto entre el texto original en inglés y su traducción al español.
© 2007-2024 - Fusion Media Ltd. Todos los Derechos Reservados.