28 de agosto (Reuters) – Pesquisadores que descobriram uma grande falha nos principais bancos de dados armazenados na Microsoft Corp (MSFT.O) A plataforma em nuvem Azure no sábado pediu a todos os usuários que alterassem suas chaves de acesso digital, não apenas os 3.300 relatados nesta semana.

Como primeiro relatado pela ReutersPesquisadores de uma empresa de segurança em nuvem chamada Wiz descobriram este mês que eles poderiam ter obtido acesso a chaves digitais primárias para a maioria dos usuários do sistema de banco de dados Cosmos DB, permitindo-lhes roubar, alterar ou excluir milhões de registros. consulte Mais informação

Alertada pelo Wiz, a Microsoft corrigiu rapidamente o erro de configuração que tornaria mais fácil para qualquer usuário do Cosmos acessar bancos de dados de outros clientes, e então notificou alguns usuários na quinta-feira para alterar suas senhas.

Em uma postagem de blog na sexta-feira, a Microsoft disse que avisou os clientes que eles haviam configurado o acesso ao Cosmos durante o período de investigação de uma semana. Ele não encontrou evidências de que um invasor usou a mesma falha para acessar os dados do cliente, disse ele.

“Nossa investigação não mostra nenhum acesso não autorizado além da atividade do investigador”, escreveu a Microsoft. “Notificações foram enviadas a todos os clientes que poderiam ser potencialmente afetados devido à atividade dos investigadores”, disse ele, talvez se referindo à possibilidade de que a técnica tenha vazado da Wiz.

“Embora os dados do cliente não tenham sido acessados, é recomendável que você gere novamente suas chaves primárias de leitura e gravação”, disse ele.

A Agência de Segurança Cibernética e de Infraestrutura do Departamento de Segurança Interna dos Estados Unidos usou uma linguagem mais forte em um boletim na sexta-feira, deixando claro que não visava apenas aos notificados.

“A CISA encoraja fortemente os clientes do Azure Cosmos DB a renovar e regenerar sua chave de certificado.” a agência disse.

Os especialistas da Wiz, fundada por quatro veteranos da equipe de segurança interna do Azure, concordaram.

“Em minha opinião, é realmente difícil, senão impossível, para eles descartar completamente que alguém já usou isso antes”, disse um dos quatro, CTO da Wiz Ami Luttwak. Na Microsoft, ele desenvolveu ferramentas para registrar incidentes de segurança na nuvem.

A Microsoft não respondeu diretamente quando questionada se tinha registros completos dos dois anos em que o recurso Jupyter Notebook estava configurado incorretamente ou havia usado outra maneira de descartar o abuso de acesso.

“Expandimos nossa pesquisa além das atividades do investigador para procurar o máximo possível de atividades em eventos atuais e semelhantes no passado”, disse o porta-voz Ross Richendrfer, recusando-se a responder a outras questões.

Wiz disse que a Microsoft trabalhou de perto com ele na investigação, mas se recusou a dizer como poderia ter certeza de que os clientes anteriores estavam seguros.

“É assustador. Eu realmente espero que ninguém além de nós tenha encontrado esse bug”, disse um dos principais pesquisadores do projeto no Wiz, Sagi Tzadik.

Relatório de Joseph Menn em San Francisco; Editado por Richard Chang

Nossos padrões: Princípios de confiança da Thomson Reuters.