O Microsoft Azure é uma plataforma destinada à execução de apps e serviços, baseada nos conceitos da computação em nuvem. A plataforma de cloud do Azure tem mais de 200 produtos e serviços de cloud concebidos para ajudar os utilizadores a dar vida a novas soluções.
No entanto, uma falha fez com que qualquer pessoa tivesse acesso sem nenhuma limitação às contas e bases de dados dos clientes.
Dados de clientes do Microsoft Azure comprometidos
Uma vulnerabilidade no serviço cloud Azure da Microsoft deixou vários milhares de clientes suscetíveis a ciberataques. A empresa alertou os seus clientes sobre uma falha no serviço da sua base de dados principal, Cosmos DB, depois de ter sido descoberto e relatado pela empresa de segurança Wiz.
No blog da Wiz, é referido que a vulnerabilidade, apelidada de “ChaosDB”, foi usada para obter “acesso completo sem restrições às contas e às bases de dados” de milhares de clientes do Azure.
Os clientes do Azure, onde se incluem empresas como a Coca-Cola e Exxon-Mobil, usam o Cosmos DB para gerir as enormes quantidades de dados que obtêm em tempo real.
A empresa relatou ainda que encontrou uma série de falhas no recurso Cosmos DB, chamado Jupyter Notebook, que oferece aos clientes uma forma de visualizarem os seus dados. Este recurso existe desde 2019, mas foi ativado para todos os clientes do Cosmos DB apenas em fevereiro passado.
“Descarregar, eliminar ou manipular uma enorme coleção de bases de dados comerciais”
A Wiz refere que uma série de configurações incorretas de origem a uma lacuna, que permite a qualquer pessoa “descarregar, eliminar ou manipular uma enorme coleção de bases de dados comerciais, bem como acesso de leitura/gravação à arquitetura subjacente do Cosmos DB”.
Apesar da Microsoft ter notificado os clientes afetados por esta falha, apenas o fez para aqueles afetos no período analisado pela Wiz, no início do mês de agosto. No entanto, muitos outros poderão ter ficado com as suas informações vulneráveis. A empresa de segurança acredita que a falhar poderia estar a ser explorada há vários meses ou até anos.
Por isso, todos os clientes deverão alterar as suas senhas de acesso ao serviço, mesmo os que não foram notificados pela Microsoft.