A Microsoft alertou milhares de clientes na última quinta-feira (26) sobre uma falha que permitia a intrusos acessar, modificar e deletar bases de dados de terceiros em seu serviço na nuvem.
O erro aconteceu na ferramenta de visualização de dados Jupyter Notebook. Ela está disponível no serviço de bases de dados Cosmos DB, usado por milhares de empresas que assinam a plataforma de nuvem Azure, da Microsoft.
A vulnerabilidade foi identificada por pesquisadores da empresa de segurança Wiz. Eles descobriram que qualquer um poderia acessar chaves que dão acesso às bases de dados de outros clientes do Cosmos DB.
A agência Reuters teve acesso a um e-mail enviado a clientes em que a Microsoft diz que não há evidências de que a falha tenha sido explorada. “Não temos indicação de que entidades externas, além do pesquisador (Wiz), tiveram acesso à chave primária”, disse a companhia.
Na mensagem, a empresa orientou seus clientes a criarem novas chaves para suas bases de dados. A empresa pagou US$ 40 mil à Wiz como recompensa pela identificação da falha.
“Consertamos o problema imediatamente para manter nossos clientes seguros e protegidos. Agradecemos aos pesquisadores de segurança por trabalharem sob a divulgação coordenada de vulnerabilidade”, disse a Microsoft à Reuters.
Questionada a Microsoft não informou se há clientes no Brasil que foram afetados pela falha.
Segundo os pesquisadores, a brecha ocorreu por conta de configurações incorretas no Jupyter Notebook, usado para selecionar dados e criar gráficos a partir deles. Ele foi adicionado ao Cosmos DB em 2019 e passou a ser ativado por padrão em fevereiro de 2021.
Um erro na solução permitia aumentar privilégios para acessar áreas de visualização de dados de outros clientes. A partir disso, era possível obter acesso às chaves primárias do Cosmos DB, que dava acesso a todas as informações de uma conta.
O diretor de tecnologia da Wiz, Ami Luttwak, afirmou que o problema, batizado de ChaosDB, foi identificado em 9 de agosto e comunicado à Microsoft em 12 de agosto.
Segundo a Wiz, a Microsoft só comunicou o caso para clientes que estavam com as chaves visíveis em agosto. Para Luttwak, porém, invasores podem ter obtidos chaves até de clientes que não foram notificados.
“Esta é a pior vulnerabilidade de nuvem que você pode imaginar. É um segredo duradouro”, disse Luttwak à Reuters. “É a base de dados central do Azure, e nós pudemos ter acesso a qualquer base de dados de consumidores que quiséssemos.”
Fonte: G1
DÓLAR COMERCIAL: R$ 5,3920 DÓLAR TURISMO: R$ 5,6980 EURO: R$ 6,3310 LIBRA: R$ 7,2050 PESO…
O premiê da Bulgária renunciou nessa quinta-feira (11) após protestos em massa liderados pela Geração Z…
O Instituto Brasileiro de Geografia e Estatística (IBGE) prorrogou até a próxima quarta-feira (17) as…
O filho de um sargento do Corpo de Bombeiros do Rio Grande do Norte denunciou…
A Câmara Municipal de Natal aprovou nesta quinta-feira (11), em regime de urgência, um projeto de lei…
O Instituto Metrópole Digital anunciou a abertura de um processo seletivo com 59 vagas para…
This website uses cookies.