Reuters
Publicado 27.08.2021 12:22
Atualizado 27.08.2021 16:27
Por Joseph Menn
SAN FRANCISCO (Reuters) - A Microsoft (NASDAQ:MSFT) alertou na quinta-feira milhares de seus clientes da nuvem, incluindo algumas das maiores empresas do mundo, que intrusos podem ter conseguido a habilidade de ler, mudar ou até deletar suas principais bases de dados, segundo uma cópia do email e um pesquisador de segurança cibernética.
A vulnerabilidade está na base de dados Cosmos DB, carro-chefe do Azure da Microsoft. Uma equipe de pesquisa da empresa de segurança Wiz (SA:WIZS3) descobriu que conseguia acessar chaves que controlam o acesso às bases de dados mantidos por milhares de empresas. O diretor de tecnologia da Wiz, Ami Luttwak, é um ex-diretor de tecnologia do Grupo de Segurança de Nuvem da Microsoft.
Como a Microsoft não pode mudar essas chaves sozinha, enviou um email aos clientes na quinta-feira pedindo para que criassem novas. A Microsoft concordou em pagar 40.000 dólares ao Wiz por encontrar a falha e relatá-la, segundo um email enviado ao Wiz.
"Consertamos o problema imediatamente para manter nossos clientes seguros e protegidos. Agradecemos aos pesquisadores de segurança por trabalharem sob a divulgação coordenada de vulnerabilidade", disse a Microsoft à Reuters.
O email da Microsoft aos clientes disse que não havia evidência de que a falha havia sido explorada. "Não temos indicação de que entidades externas, além do pesquisador (Wiz), tiveram acesso à chave primária", disse o email.
"Esta é a pior vulnerabilidade de nuvem que você pode imaginar. É um segredo duradouro", disse Luttwak à Reuters. "É a base de dados central do Azure, e nós pudemos ter acesso a qualquer base de dados de consumidores que quiséssemos."
A equipe de Luttwak encontrou o problema, batizado de ChaosDB, em 9 de agosto e notificou a Microsoft em 12 de agosto, afirmou Luttwak.
A falha era na ferramenta de visualização chamada Jupyter Notebook, que está disponível há anos, mas foi ativada por padrão no Cosmos a partir de fevereiro. Após a Reuters publicar a falha, o Wiz detalhou a questão em um blog.
Luttwak afirmou que mesmo consumidores que não foram notificados pela Microsoft poderiam ter tido as suas chaves roubadas por invasores, o que lhes teria dado acesso até que essas chaves fossem modificadas. A Microsoft notificou apenas clientes cujas chaves estavam visíveis este mês, quando o Wiz estava trabalhando no problema.
Essa revelação chega após meses de notícias ruins no âmbito da segurança para a Microsoft. A empresa foi violada pelos mesmos hackers suspeitos de serem do governo russo que infiltraram o SolarWinds e roubaram o código-fonte da Microsoft. Depois, vários hackers invadiram os servidores de email do Exchange, enquanto um patch estava sendo desenvolvido.
Os problemas com o Azure são especialmente preocupantes porque a Microsoft e especialistas externos de segurança têm pressionado as empresas a abandonar suas próprias infraestruturas e depender da nuvem por mais segurança.
Mas embora ataques à nuvem sejam mais raros, eles podem ser mais devastadores quando ocorrem. E além disso, alguns nunca são divulgados.
Escrito por: Reuters
Negociar instrumentos financeiros e/ou criptomoedas envolve riscos elevados, inclusive o risco de perder parte ou todo o valor do investimento, e pode não ser algo indicado e apropriado a todos os investidores. Os preços das criptomoedas são extremamente voláteis e podem ser afetados por fatores externos, como eventos financeiros, regulatórios ou políticos. Negociar com margem aumenta os riscos financeiros.
Antes de decidir operar e negociar instrumentos financeiros ou criptomoedas, você deve se informar completamente sobre os riscos e custos associados a operações e negociações nos mercados financeiros, considerar cuidadosamente seus objetivos de investimento, nível de experiência e apetite de risco; além disso, recomenda-se procurar orientação e conselhos profissionais quando necessário.
A Fusion Media gostaria de lembrar que os dados contidos nesse site não são necessariamente precisos ou atualizados em tempo real. Os dados e preços disponíveis no site não são necessariamente fornecidos por qualquer mercado ou bolsa de valores, mas sim por market makers e, por isso, os preços podem não ser exatos e podem diferir dos preços reais em qualquer mercado, o que significa que são inapropriados para fins de uso em negociações e operações financeiras. A Fusion Media e quaisquer outros colaboradores/partes fornecedoras de conteúdo não são responsáveis por quaisquer perdas e danos financeiros ou em negociações sofridas como resultado da utilização das informações contidas nesse site.
É proibido utilizar, armazenar, reproduzir, exibir, modificar, transmitir ou distribuir os dados contidos nesse site sem permissão explícita prévia por escrito da Fusion Media e/ou de colaboradores/partes fornecedoras de conteúdo. Todos os direitos de propriedade intelectual são reservados aos colaboradores/partes fornecedoras de conteúdo e/ou bolsas de valores que fornecem os dados contidos nesse site.
A Fusion Media pode ser compensada pelos anunciantes que aparecem no site com base na interação dos usuários do site com os anúncios publicitários ou entidades anunciantes.