San Francisco, USA. 27 de agosto.- La poderosa Microsoft advirtió ayer jueves a sus clientes de computación que guardan información en la nube, incluidas algunas de las empresas más grandes del mundo, que intrusos podrían tener la capacidad de leer, cambiar o incluso eliminar sus principales bases de datos.

La advertencia fue emitida luego de que una empresa de ciberseguridad descubriera un error (insecto) en el servicio de bases de datos, Azure Cosmos DB, introducido por error en el 2019, cuando Microsoft añadió una nueva funcionalidad de visualización de datos llamada Jupyter Notebook. Aunque inicialmente sólo estaba disponible si se activaba manualmente, desde el pasado mes de febrero de 2021 está activa por defecto en todas las cuentas de Cosmos DB.

Cosmos DB es usada por algunas de las empresas más grandes del planeta, incluyendo Coca-Cola, Exxom-Mobil, ABB, Citrix, BMI y muchas más, algunas dentro de la lista Fortune 500. La vulnerabilidad ha afectado a tres mil, 300 clientes, los cuales ya han sido avisados por Microsoft de que sus datos quedaron expuestos. Sin embargo, la compañía también ha aclarado que no tiene pruebas de que la vulnerabilidad haya sido aprovechada por usuarios maliciosos, y que no es consciente de ningún acceso a los datos de los clientes de esta manera; según el despacho que sobre el caso divulgó la agencia noticiosa Reuters.

La descubridora de este agujero de seguridad fue Wiz, una empresa de ciberseguridad que en su blog explica los detalles técnicos del problema, que se reducen a una mala configuración del servicio que permitió que cualquiera pudiese descargar, borrar y manipular las bases de datos almacenadas en el servicio, además de acceder a la arquitectura de Cosmos DB.

Ami Luttwak, directora de tecnología de Wiz, dijo es esta la peor vulnerabilidad en la nube que se pueda imaginar. «Es la base de datos central de Azure y pudimos acceder a cualquier base de datos de clientes que quisiéramos».

El equipo de Luttwak encontró el problema, denominado ChaosDB, el 9 de agosto y notificó a Microsoft el 12 de agosto.

Wiz ha hecho pública esta vulnerabilidad después de avisar a Microsoft y que esta deshabilitase la función, apenas 48 horas después; aunque Wiz elogia la rapidez de la reacción, también critica el hecho de que la vulnerabilidad no esté completamente cerrada aún. Si un atacante hubiese podido acceder a las bases de datos de esta manera, aún tendría las claves de acceso; Microsoft no puede cambiarlas manualmente, y por eso ha contactado con los clientes, para pedirles que las cambien y evitar futuros accesos indebidos, siempre en el supuesto de que alguien más haya descubierto este ‘bug’ antes que Wiz.

Por el momento, parece que sólo los investigadores de Wiz descubrieron la vulnerabilidad, y la pudieron aprovechar para entrar en bases de Azure; afirman que fueron capaces de acceder a cualquier base de datos que quisieran, y por eso, llaman a esta la «peor vulnerabilidad que puedas imaginar».(Agencias)

reynaldo@elMejor.com.mx