La settimana scorsa Microsoft ha avvertito migliaia di clienti del suo servizio di cloud computing di una falla nel sistema che avrebbe permesso a eventuali malintenzionati di leggere, modificare o cancellare i dati contenuti nel database di Azure Cosmos DB.
La vulnerabilità è stata scoperta da un team della società di sicurezza informatica americana Wiz: il suo direttore tecnico, Ami Luttwak, ha in passato ricoperto la stessa posizione nel Cloud Security Group di Microsoft.
IL PROBLEMA DI COSMOS DB
Wiz ha scoperto di riuscire ad accedere alle chiavi di accesso dei database di Cosmos DB di oltre tremila aziende. Microsoft non è in grado di modificare autonomamente queste chiavi, così ha inviato una mail a tutti i suoi clienti chiedendogli di crearne di nuove.
I CLIENTI DEL CLOUD DI MICROSOFT
Tra le aziende che utilizzano il servizio Cosmos DB ci sono la Coca-Cola Company, la compagnia petrolifera ExxonMobil e la società di software Citrix Systems. C’è anche la catena di farmacie Walgreens, una delle più grandi degli Stati Uniti, che utilizza Cosmos DB per la gestione delle transazioni legate alle prescrizioni di medicinali (ne effettua oltre 6 milioni al giorno).
RICOMPENSA DA 40MILA DOLLARI
Per aver scoperto la falla e averla segnalata, Wiz è stata ricompensata da Microsoft con 40mila dollari. La vulnerabilità – ha detto Microsoft all’agenzia Reuters – è stata corretta “immediatamente”.
Nell’email ai clienti, Microsoft afferma che non ci siano prove che qualcuno abbia sfruttato la falla di Cosmos DB per accedere alle chiavi e violare dati.
“LA PEGGIORE VULNERABILITÀ CLOUD CHE SI POSSA IMMAGINARE”
In un’intervista a Reuters, Luttwak ha detto che la falla è “la peggiore vulnerabilità del cloud che si possa immaginare […]. È il database centrale di Azure, ed eravamo in grado di accedere al database di qualsiasi cliente avessimo voluto”.
DOV’ERA LA FALLA
Il team di Wiz ha scoperto il problema di Cosmos DB (indicato come ChaosDB) il 9 agosto e ha informato Microsoft il 12. La falla, in realtà, era presente dalla metà del 2019 perché si trovava in uno strumento di visualizzazione chiamato Jupyter Notebook, disponibile da un paio d’anni e abilitato come predefinito in Cosmos a partire da febbraio.
CLIENTI A RISCHIO?
Microsoft ha avvertito solo i clienti di Cosmos DB le cui chiavi d’accesso sono risultate visibili questo mese, cioè quando Wiz ha scoperto la falla. Ma Luttwak ha detto che anche le aziende che non sono state avvisate da Microsoft potrebbero aver subito delle violazioni nei propri database, in passato.
Microsoft aveva detto a Reuters che “i clienti che potrebbero essere stati coinvolti hanno ricevuto una notifica da noi”, senza elaborare. Wiz ha invitato tutti gli utenti di Azure – non solo i 3300 informati da Microsoft, dunque – di cambiare le proprie chiavi d’accesso.
UN BRUTTO PERIODO PER MICROSOFT
È un brutto periodo per la reputazione di Microsoft in materia di cybersicurezza. Mesi fa c’è stato il grande attacco informatico SolarWinds (che è arrivato a colpire anche nove agenzie del governo americano), presumibilmente compiuto da criminali informatici legati alla Russia che hanno sottratto a Microsoft il suo codice sorgente. A seguire, tra le altre cose, ci sono state delle infiltrazioni nei server di Microsoft Exchange.
I problemi di vulnerabilità della piattaforma cloud Azure, però, sono forse ancora più gravi, perché gli esperti del settore – e Microsoft stessa – spingono da tempo le aziende ad abbandonare le proprie infrastrutture di dati e affidarsi ai sistemi cloud proprio per garantirsi una maggiore sicurezza. Gli attacchi informatici al cloud sono più rari, spiega Reuters, ma possono essere devastanti per la mole di dati coinvolti. Alcuni, peraltro, non vengono resi pubblici.
INVESTIMENTI IN SICUREZZA
Di recente, dopo un incontro con i funzionari dell’amministrazione americana di Joe Biden, Microsoft ha detto che investirà nella cybersicurezza 20 miliardi di dollari in un arco di cinque anni: vale a dire un aumento di quattro volte rispetto ai livelli attuali. Altri 150 milioni verranno stanziati per l’assistenza tecnica alle istituzioni federali, statali e locali degli Stati Uniti per l’aggiornamento dei sistemi di sicurezza digitale.