Como Microsoft no puede cambiar esas claves por sí mismo, envió un correo electrónico a los clientes el jueves pidiéndoles que crearan nuevas. Microsoft acordó pagar a Wiz 40,000 dólares por encontrar la falla e informarla, según un correo electrónico que envió a esta firma.
“Solucionamos este problema de inmediato para mantener a nuestros clientes seguros y protegidos. Agradecemos a los investigadores de seguridad por trabajar bajo la divulgación coordinada de vulnerabilidades”, dijo Microsoft a Reuters.
El correo electrónico de Microsoft a los clientes decía que no había evidencias de que la falla hubiera sido explotada. “No tenemos indicios de que entidades externas fuera del investigador (Wiz) tuvieran acceso a la clave primaria de lectura y escritura”, indicó la comunicación.
“Esta es la peor vulnerabilidad en la nube que se pueda imaginar. Es un secreto duradero”, dijo Luttwak a Reuters. “Esta es la base de datos central de Azure y pudimos acceder a cualquier base de datos de clientes que quisiéramos”.
Más Información
El equipo de Luttwak encontró el problema, denominado ChaosDB, el 9 de agosto y notificó a Microsoft el 12 de agosto, dijo Luttwak.
La falla estaba en una herramienta de visualización llamada Jupyter Notebook, que ha estado disponible durante años, pero estaba habilitada de manera predeterminada en Cosmos a partir de febrero. Después de que Reuters informara sobre la falla, Wiz detalló el problema en una publicación de blog.
Luttwak dijo que incluso los clientes que no han sido notificados por Microsoft podrían haber tenido sus claves robadas por los atacantes, dándoles acceso hasta que se cambien esas claves. Microsoft solo avisó a los clientes con las claves expuestas este mes, cuando Wiz estaba trabajando en el problema.
Microsoft dijo a Reuters que “los clientes que pueden haber sido afectados recibieron una notificación de nuestra parte”, sin dar más detalles.
