Un fallo de seguridad en la nube de Microsoft ha dejado expuestas miles de contraseñas
Una empresa de ciberseguridad alertó a la compañía del problema. Sin embargo, Microsoft tardó casi un mes en subsanarlo, a pesar de que no era excesivamente complejo
- Un adolescente de 16 años, posible autor intelectual del ciberataque a Microsoft
- Microsoft alerta de un intento de 'hackeo' de Rusia para frenar a los rivales de Trump
Microsoft ha vuelto a experimentar un grave fallo de seguridad en sus sistemas, tal y como ha descubierto la empresa de ciberseguridad SOCRadar. Un problema que acontece mientras la compañía todavía trataba de recuperarse de sus últimos errores y de restaurar la confianza con sus clientes. Especialmente, en lo referente a la utilización de sus servicios de almacenamiento en la nube.
El fallo ha sido descubierto por tres investigadores de SOCRadar (Can Yoleri, Egemen Koçhisarlı y Murat Özfidan). En concreto, se dieron cuenta de que un servidor de almacenamiento público y abierto englobado dentro del servicio en la nube Azure no estaba protegido por contraseña ni por ningún otro sistema de seguridad. Por ello, cualquiera que lo desease podría acceder a él y sustraer las credenciales alojadas de empleados y usuarios.
Microsoft employees exposed internal passwords in security lapse https://t.co/6xxYxUjrJ8
— TechCrunch (@TechCrunch) April 9, 2024
Según los investigadores, este servidor de almacenamiento de Azure de Microsoft albergaba códigos, scripts y archivos de configuración relacionados con el motor de búsqueda Bing. Según Can Yoleri, que ha sido entrevistado por el medio Techcrunch, “lo importante no es esta fuga de datos en sí misma”, sino que “podría dar pie a fugas de datos más relevantes que, incluso, puedan comprometer los servicios en uso”.
Microsoft toma medidas
SOCRadar informó a Microsoft del fallo el pasado 6 de febrero. Sin embargo, la compañía de Redmond no tomó medidas hasta casi un mes después (el 5 de marzo). Lo que hizo fue proteger el servidor mediante una contraseña encriptada y asegurar los archivos filtrados. Sin embargo, no se puede asegurar durante cuánto tiempo estuvieron expuestos los datos alojados en el servidor o si alguien que no fuese uno de los tres miembros de la empresa de ciberseguridad tuvo acceso a ellos.
No es la primera vez que Microsoft comete un fallo de estas características. Por ejemplo, en 2023 se produjo un error similar que expuso los datos de inicio de sesión de algunos de sus empleados en un código publicado en GitHub. Además, reconoció no saber cómo un grupo de hackers procedentes de China había conseguido sustraer una clave interna de firma de correos electrónicos.
- Un adolescente de 16 años, posible autor intelectual del ciberataque a Microsoft
- Microsoft alerta de un intento de 'hackeo' de Rusia para frenar a los rivales de Trump
Microsoft ha vuelto a experimentar un grave fallo de seguridad en sus sistemas, tal y como ha descubierto la empresa de ciberseguridad SOCRadar. Un problema que acontece mientras la compañía todavía trataba de recuperarse de sus últimos errores y de restaurar la confianza con sus clientes. Especialmente, en lo referente a la utilización de sus servicios de almacenamiento en la nube.