Satya Nadella, director ejecutivo de Microsoft Corp. , hablando en la reunión anual de accionistas de Microsoft en Bellevue, Washington.
Jason Redmond | AFP | imágenes falsas
Microsoft El jueves, miles de clientes de computación en la nube, incluidas algunas de las empresas más grandes del mundo, advirtieron que los piratas informáticos podrían tener la capacidad de leer, cambiar o incluso eliminar sus bases de datos maestras, según una transcripción del correo electrónico y un investigador de ciberseguridad.
La vulnerabilidad reside en la base de datos líder de Cosmos en Microsoft Azure. Un equipo de investigación de la firma de seguridad Wiz descubrió que podía acceder a las claves que controlan el acceso a las bases de datos mantenidas por miles de empresas. Amy Luttwak, directora de tecnología de Wiz, es la ex directora de tecnología del Cloud Security Group de Microsoft.
Dado que Microsoft no puede cambiar estas claves por sí solo, envió un correo electrónico a los clientes el jueves diciéndoles que crearan nuevas claves. Microsoft acordó pagarle a Wiz $ 40,000 para encontrar e informar la falla, según un correo electrónico enviado a Wiz.
Los portavoces de Microsoft no hicieron comentarios de inmediato.
El correo electrónico de Microsoft a los clientes decía que solucionó la vulnerabilidad y que no había evidencia de que la falla hubiera sido explotada. Según una copia del correo electrónico visto por Reuters, «No tenemos indicios de que entidades externas fuera del Investigador (Wiz) tengan acceso a la clave principal de lectura y escritura».
«Esta es la peor vulnerabilidad en la nube que se pueda imaginar», dijo Luttwak a Reuters. «Es un secreto de larga data». «Esta es la base de datos central de Azure y pudimos acceder a cualquier base de datos de clientes que quisiéramos».
Luttwak dijo que el equipo de Luttwak descubrió el problema, denominado ChaosDB, el 9 de agosto y lo informó a Microsoft el 12 de agosto.
La revelación llega después de meses de malas noticias de seguridad para Microsoft. La empresa fue pirateada por el mismo presunto hacker del gobierno ruso que se infiltró en SolarWinds, que robó el código fuente de Microsoft. Aquí.
Un defecto en la impresora que hacía frecuentes adquisiciones de computadoras tuvo que ser reparado. Una falla de correo electrónico en Exchange la semana pasada provocó una advertencia urgente del gobierno de EE. UU. Aquí Los clientes necesitan instalar parches lanzados hace meses porque las bandas de ransomware ahora los están explotando.
«Remorseless communicator. Web nerd. Internet addict. Gamer. Hipster-friendly entrepreneur.»
