Serviço Microsoft Azure possuía vulnerabilidade desde 2019

A Microsoft alertou milhares de clientes que usam o sistema de computação em nuvem Azure que uma vulnerabilidade deixou dados completamente expostos nos últimos dois anos – ou seja, desde 2019.

A falha foi resultado de um problema no banco de dados Azure Cosmos DB da Microsoft. Isso fez com que 3.300 clientes tivesses seus dados disponibilizados para invasores.

“Esta é a pior vulnerabilidade de nuvem que você pode imaginar. Este é o banco de dados central do Azure, e fomos capazes de obter acesso a qualquer informação de clientes que quiséssemos”, disse Ami Luttwak, diretor da Wiz, empresa que descobriu o problema.

No entanto, a Microsoft minimizou a questão dizendo que não há nenhuma evidência de que o acesso ilícito aos dados tenha sido feito. “Não há evidências de que essa técnica seja explorada por agentes mal-intencionados. Não temos conhecimento de nenhum dado de cliente sendo acessado”, disse a empresa em um comunicado à Bloomberg.

Em uma publicação detalhada, a Wiz disse que a vulnerabilidade permitiu que os pesquisadores da empresa obtivesses acesso às chaves primárias que protegiam os bancos de dados do Cosmos DB. Com esses acessos, era possível ter controle total de leitura, gravação e até exclusão de informações de clientes do Azure.

Solução da Microsoft

Segundo a empresa, o problema foi descoberto há duas semanas e a Microsoft desabilitou a vulnerabilidade 48 horas após ser avisada da questão. No entanto, a Microsoft não pode simplesmente alterar as chaves de acesso de seus clientes. Foi por esse motivo que um e-mail foi enviado para essas companhias solicitando a mudança manual.

Com a evolução dos serviços baseados em nuvem, uma vulnerabilidade do tipo pode ser um fator bastante problemático para a tecnologia e seu futuro.

Via: The Verge