A Microsoft alertou milhares de clientes na última quinta-feira (26) sobre uma falha que permitia a intrusos acessar, modificar e deletar bases de dados de terceiros em seu serviço na nuvem.
O erro aconteceu na ferramenta de visualização de dados Jupyter Notebook. Ela está disponível no serviço de bases de dados Cosmos DB, usado por milhares de empresas que assinam a plataforma de nuvem Azure, da Microsoft.
A vulnerabilidade foi identificada por pesquisadores da empresa de segurança Wiz. Eles descobriram que qualquer um poderia acessar chaves que dão acesso às bases de dados de outros clientes do Cosmos DB.
A agência Reuters teve acesso a um e-mail enviado a clientes em que a Microsoft diz que não há evidências de que a falha tenha sido explorada. “Não temos indicação de que entidades externas, além do pesquisador (Wiz), tiveram acesso à chave primária”, disse a companhia.
Na mensagem, a empresa orientou seus clientes a criarem novas chaves para suas bases de dados. A empresa pagou US$ 40 mil à Wiz como recompensa pela identificação da falha.
“Consertamos o problema imediatamente para manter nossos clientes seguros e protegidos. Agradecemos aos pesquisadores de segurança por trabalharem sob a divulgação coordenada de vulnerabilidade”, disse a Microsoft à Reuters.
Questionada a Microsoft não informou se há clientes no Brasil que foram afetados pela falha.
Segundo os pesquisadores, a brecha ocorreu por conta de configurações incorretas no Jupyter Notebook, usado para selecionar dados e criar gráficos a partir deles. Ele foi adicionado ao Cosmos DB em 2019 e passou a ser ativado por padrão em fevereiro de 2021.
Um erro na solução permitia aumentar privilégios para acessar áreas de visualização de dados de outros clientes. A partir disso, era possível obter acesso às chaves primárias do Cosmos DB, que dava acesso a todas as informações de uma conta.
O diretor de tecnologia da Wiz, Ami Luttwak, afirmou que o problema, batizado de ChaosDB, foi identificado em 9 de agosto e comunicado à Microsoft em 12 de agosto.
Segundo a Wiz, a Microsoft só comunicou o caso para clientes que estavam com as chaves visíveis em agosto. Para Luttwak, porém, invasores podem ter obtidos chaves até de clientes que não foram notificados.
“Esta é a pior vulnerabilidade de nuvem que você pode imaginar. É um segredo duradouro”, disse Luttwak à Reuters. “É a base de dados central do Azure, e nós pudemos ter acesso a qualquer base de dados de consumidores que quiséssemos.”
Fonte: G1
DÓLAR COMERCIAL: R$ 5,0710 DÓLAR TURISMO: R$ 5,2780 EURO: R$ 5,8710 LIBRA: R$ 6,8240 PESO…
O Instagram e o Facebook apresentam instabilidade na manhã desta sexta-feira (12). Usuários relatam dificuldades para acessar as redes…
A Copa do Mundo 2026 é a primeira disputada em três países-sede — Estados Unidos, México e Canadá — e com três…
O Índice Nacional de Preços ao Consumidor Amplo (IPCA), considerado a inflação oficial do país, subiu 0,58% em…
O Instituto Brasileiro de Geografia e Estatística (IBGE) abriu nesta sexta-feira (12) inscrições para um…
A 2ª Vara da Fazenda Pública da Comarca de Natal determinou a suspensão imediata das provas objetivas…
This website uses cookies.