di Joseph Menn
SAN FRANCISCO (Reuters) - Microsoft (NASDAQ:MSFT) ieri ha segnalato a migliaia dei propri clienti di cloud computing, che includono alcune delle maggiori aziende al mondo, che alcuni hacker potrebbero essere in grado di consultare, cambiare o anche cancellare i loro database centrali.
È quanto emerge da una copia dell'email in questione e da un ricercatore di cybersicurezza.
La vulnerabilità è dovuta a Cosmos DB, database di punta di Microsoft Azure. Un team di ricercatori presso la società di cybersicurezza Wiz ha scoperto di poter ottenere le chiavi che controllano l'accesso ai database di migliaia di aziende. Ami Luttwak, Chief Technology Officer di Wiz, ha ricoperto in passato lo stesso ruolo nel gruppo di sicurezza cloud di Microsoft.
Poiché Microsoft non può cambiare autonomamente le chiavi, ha inviato diverse email ai clienti del servizio, chiedendo di creare nuove chiavi. La società di Redmond ha accettato di pagare Wiz 40.000 dollari per aver scoperto la falla e per averla riportata al gruppo, in base all'email inviata a Wiz.
"Abbiamo risolto immediatamente questo errore per proteggere e salvaguardare i nostri clienti. Ringraziamo i ricercatori di sicurezza per aver lavorato in base alla divulgazione coordinata della vulnerabilità", ha comunicato Microsoft a Reuters.
L'email di Microsoft ai clienti afferma di non aver trovato prove di un abuso della falla. "Non abbiamo indicazioni che mostrano che entità esterne al di là del ricercatore (Wiz) hanno ottenuto l'accesso alla chiave primaria 'read-write'", si legge nell'email.
"Si tratta della peggiore vulnerabilità immaginabile in un servizio cloud. È un segreto di vecchia data", ha detto Luttwak a Reuters. "Questo è il database centrale di Azure, e siamo stati in grado di accedere a ogni database dei clienti a nostra disposizione", ha aggiunto.
Il team di Luttwak ha notato la falla, rinominata ChaosDB, il 9 agosto, e l'ha comunicata a Microsoft il 12 agosto, ha dichiarato Luttwak.
La falla è dovuta a uno strumento di visualizzazione noto come Jupyter Notebook, disponibile da anni ma abilitato in Cosmos come impostazione predefinita solo a partire da febbraio. Dopo che Reuters ha riportato la falla, Wiz ha descritto la questione in un blog post.
Luttwak ha detto che anche i clienti che non sono stati contattati da Microsoft potrebbero perdere le loro chiavi a causa di hacker, dando loro l'accesso finché le chiavi non saranno cambiate. Microsoft ha informato solo i clienti in possesso di chiavi visibili ad agosto, quando Wiz ha scoperto la falla.
Microsoft ha riferito a Reuters che i "clienti che potrebbero essere stati coinvolti hanno ricevuto una notifica", senza elaborare ulteriormente.
(Tradotto a Danzica da Enrico Sciacovelli, in redazione a Roma Stefano Bernabei)