Uma vulnerabilidade grave no Microsoft Azure expôs os dados de milhares de clientes do serviço de computação na nuvem, incluindo algumas das maiores empresas do mundo. A falha foi comunicada aos usuários da plataforma por e-mail enviado nessa quinta-feira (26) pela gigante de Redmond, segundo a Reuters.
Na mensagem, a dona do Windows informou aos clientes que invasores teriam a capacidade de ler, modificar e excluir os dados armazenados no Azure caso explorassem a falha. Porém, a companhia afirma não ter encontrado evidências de ataques cibernéticos relacionados a tal erro.
Responsável pela descoberta, a empresa de cibersegurança Wiz classificou o bug no Microsoft Azure como “a pior vulnerabilidade em nuvem que você pode imaginar”, revelando a sua existência desde 2019. Especialistas da firma israelense verificaram ser possível acessar qualquer banco de dados no serviço.
Explorando a falha, invasores poderiam ter acesso às chaves primárias dos bancos de dados.Fonte: Wiz/Reprodução
O problema em questão estava no Cosmos DB, principal banco de dados da plataforma, que recebeu uma nova ferramenta de visualização há dois anos, intitulada Jupyter Notebook. Este recurso foi ativado automaticamente para todos os bancos de dados Cosmos em fevereiro deste ano.
Clientes devem alterar as chaves de acesso
De acordo com a Wiz, que recebeu US$ 40 mil como recompensa pela descoberta, cerca de 3,3 mil clientes do Microsoft Azure podem ter sido impactados. Entre eles estão empresas como Coca-Cola, Citrix e ExxonMobil, que usam o Cosmos DB para gerenciar grandes quantidades de dados em tempo real.
Um porta-voz da Microsoft disse à agência de notícias que o problema foi corrigido imediatamente, logo após a empresa ser notificada no último dia 12 de agosto. O representante da companhia disse ainda que “todos os clientes estão seguros e protegidos”.
Como a Microsoft não tem meios de alterar as chaves primárias de cada banco de dados, a empresa pediu aos clientes, no e-mail enviado, que fizessem a alteração da senha manualmente, para prevenir qualquer acesso indevido.
Categorias