Seguridad

Microsoft Azure: una falla en el servicio comprometió datos de Coca-Cola y Exxon-Mobil

Un nuevo fallo de seguridad en Microsoft.

HONG KONG - 2018/11/22: In this photo illustration, the American file hosting and cloud computing service owned by Microsoft, Azure, Dropbox logo is seen displayed on an Android mobile device with a figure of hacker in the background. (Photo Illustration by Miguel Candela/SOPA Images/LightRocket via Getty Images) (SOPA Images/LightRocket via Getty Images)
Por Kiko Perozo

Empresas como Coca-Cola, Rolls-Royce y Exxon-Mobil, entre miles de clientes gigantes y medianos, se vieron afectados por una falla del servicio en la nube Microsoft Azure.

PUBLICIDAD

La compañía advirtió a los usuarios sobre la vulnerabilidad en su base de datos Cosmos DB, descubierta por la empresa de seguridad Wiz. “Solucionamos este problema de inmediato para mantener a nuestros clientes seguros y protegidos. Agradecemos a los investigadores de seguridad por trabajar bajo la divulgación coordinada de vulnerabilidades”, señaló Microsoft a Reuters, en un correo.

“No tenemos indicios de que entidades externas fuera del investigador (Wiz) tuvieran acceso a la clave principal de lectura y escritura”, subrayó la compañía.

Recomendados

Así nació la vulnerabilidad de Microsoft Azure y de qué forma comprometió datos

ChaosDB es el nombre de la vulnerabilidad, y a través de ella se puede tener “acceso completo, sin restricciones, a las cuentas y bases de datos de miles de clientes de Azure”.

Como explica Wiz, algunas de las empresas más grandes del mundo utilizan Cosmos DB, de Azure, para administrar enormes cantidades de datos en tiempo real. Es “una de las formas más simples y flexibles para que los desarrolladores almacenen datos”, señala la experta en seguridad.

(SOPA Images/SOPA Images/LightRocket via Gett)

Cosmos “potencia funciones comerciales críticas como el procesamiento de millones de transacciones de recetas o la gestión de flujos de pedidos de clientes en sitios de comercio electrónico”, en palabras de Wiz.

Las fallas en la base de Microsoft Azure crearon una laguna que permite a cualquier usuario descargar, eliminar o manipular datos comerciales. También abre la puerta a la lectura y escritura de la arquitectura subyacente de Cosmos DB.

Microsoft deshabilitó la función específican denominada Jupyter Notebook (implementada desde 2019), dentro de las 48 horas posteriores al aviso de Wiz. Esta herramienta permanece desactivada para todos los clientes, esperando un rediseño de seguridad.

No obstante, según Wiz, los usuarios “aún pueden verse afectados, ya que sus claves de acceso principales estaban potencialmente expuestas”. Hasta ahora se ha notificado a más del 30% de los usuarios de Cosmos DB sobre el cambio de clave manual.

¿Quiénes se vieron afectados?

Otros de los clientes de Cosmos DB – Microsoft Azure, además de Coca-Cola y Exxon-Mobil, son ABB, Aveva, Siemens Healthineers, Liberty Mutual Insurance, Rolls-Royce, Skype y Johnson Controls. La lista completa puedes verla en este link.

Reuters destaca otros de los fallos de seguridad de Microsoft. En febrero del año pasado, los hackers SolarWinds extrajeron código fuente de Azure. Luego, los piratas informáticos Chinese Hafniun violaron el espacio de Exchange, afectando a más de 30 mil organizaciones en todo el mundo, incluyendo departamentos de policía, hospitales y bancos.

Microsoft Azure, que previamente era Windows Azure y Azure Services Platform, construye, prueba, despliega y administra aplicaciones y servicios a través de sus centros de datos. Proporciona software, plataforma e infraestructura como servicio.

Su lanzamiento inicial ocurrió en 2010.

Tags

Lo Último