A Microsoft alertou milhares de clientes de sua plataforma de nuvem Azure, incluindo empresas que compõem a lista da Fortune 500, como Coca-Cola, Exxon-Mobil e Citrix, que seus dados podem ter sido expostos.
A empresa revelou uma grande falha em seu principal serviço de banco de dados, o Azure Cosmos DB, na quinta-feira, 26, que pode permitir que hackers leiam, alterem ou excluam dados salvos na nuvem, de acordo com um e-mail que circulou internamente e de informações de um pesquisador de segurança cibernética.
A falha teria sido descoberta por uma equipe de pesquisa da empresa de segurança Wiz, que verificou que era possível acessar chaves que controlam o acesso aos bancos de dados mantidos por milhares de empresas.
No e-mail enviado aos clientes, a Microsoft diz que corrigiu a vulnerabilidade e que não há evidências de que a falha tenha sido explorada. “Não temos nenhuma indicação de que entidades externas, fora do pesquisador [da Wiz], tiveram acesso à chave primária de leitura e gravação”, diz a mensagem aos clientes.
A empresa justificou que como não pode alterar as chaves de acesso por si mesma, enviou o e-mail aos clientes solicitando que criassem novas chaves.
“Esta é a pior vulnerabilidade de nuvem que se pode imaginar. É um segredo duradouro”, disse o cofundador da Wiz, Ami Luttwak, à Reuters. “Este é o banco de dados central do Azure, e fomos capazes de obter acesso a qualquer banco de dados de cliente que quiséssemos.”
Veja isso
Ferramenta localiza falhas no Hyper-V da Microsoft
Microsoft admite ter assinado malware de rootkit
Luttwak é ex-diretor de tecnologia do Cloud Security Group da Microsoft e disse que a falha pode ter efeitos sérios. A equipe dele encontrou o problema, apelidado de ChaosDB, no dia 9 deste mês e notificou a Microsoft no dia 12. Segundo ele, a falha estava em uma ferramenta de visualização chamada Jupyter Notebook, que está disponível há anos, mas foi habilitada por padrão no Cosmos DB a partir de fevereiro. Depois que a Reuters relatou a falha, Wiz detalhou o problema em um blog.
A Microsoft só notificou os clientes cujas chaves estavam visíveis este mês, quando Luttwak estava trabalhando no problema. Mas ele alerta que mesmo aqueles que não foram notificados pela Microsoft podem ter suas chaves roubadas por invasores, dando-lhes acesso até que essas chaves sejam alteradas.
A Microsoft concordou em pagar a Wiz US$ 40 mil para encontrar a falha e relatá-la, de acordo com um e-mail enviado à empresa, segundo o Daily Mail.
O Azure Cosmos DB é o principal software de banco de dados da Microsoft. A fabricante de software, no entanto, não forneceu detalhes ao jornal americano sobre para que empresas como a Coca e a Exxon usam o software, mas ele é frequentemente usado para gerenciar o desenvolvimento de aplicativos e de capacidade, além do gerenciamento de fluxos de pedidos de clientes.