Microsoft avisa a miles de clientes de su nube de que sus bases de datos están expuestas por un grave fallo de seguridad

Microsoft ha advertido a miles de sus clientes de la nube, en donde hay alguna de las empresas más grandes del mundo, que un grupo de ciberdelincuentes ha podido acceder a las cuentas y podrían tener la capacidad de leer, cambiar o incluso eliminar sus principales bases de datos. 

La vulnerabilidad está en la base de datos insignia Cosmos DB de Microsoft Azure, tal y como se desprende de la copia de un correo electrónico y de un investigador de seguridad cibernética del que se hace eco Reuters. 

Un equipo de investigación de la empresa de ciberseguridad Wiz ha descubierto que podía acceder a las claves que controlan el acceso a las bases de datos de miles de empresas, según explica Ami Luttwak, directora de tecnología de Wiz que además es una exdirectora de tecnología del Cloud Security Group de Microsoft. 

La compañía de Redmond no puede cambiar las claves de sus clientes, por lo que envió un correo electrónico a los afectados comunicándoles que debían crear nuevas contraseñas para evitar cualquier disgusto. 

Microsoft ha acordado pagarle 40.000 dólares a Wiz por encontrar este fallo y advertirle del problema, según un correo electrónico que se escribieron ambas partes. 

"Solucionamos este problema de inmediato para mantener a nuestros clientes seguros y protegidos. Agradecemos a los investigadores de seguridad por trabajar bajo la divulgación coordinada de vulnerabilidades", apunta Microsoft a Reuters.

El correo electrónico de Microsoft a los clientes decía que no había evidencia de que la falla hubiera sido explotada. "No tenemos indicios de que entidades externas fuera del investigador [Wiz] tuvieran acceso a la clave primaria de lectura y escritura", decía el correo electrónico.

"Esta es la peor vulnerabilidad en la nube que pueda imaginar. Es un secreto duradero", comenta Luttwak a Reuters. "Esta es la base de datos central de Azure y pudimos acceder a cualquier base de datos de clientes que quisiéramos".

El problema de seguridad estaba en una herramienta de visualización llamada Jupyter Notebook que estaba en el sistema desde hace años, pero empezó a estar habilitada de forma predeterminada en Cosmos desde febrero de este año. 

Luttwak también advierte de que los clientes que no han recibido ningún correo por parte de Microsoft también han podido verse afectados, por lo que es recomendable que cambies tus credenciales igualmente. 

Microsoft explica a Reuters que "los clientes que pueden haber sido afectados recibieron una notificación de nuestra parte", sin dar más detalles.