Encuentran más de medio millón de ficheros secretos desprotegidos en Microsoft Azure
La culpa es de un desarrollador — y Microsoft
Un investigador de seguridad ha descubierto más de medio millón de documentos confidenciales de sus clientes totalmente desprotegidos en Internet, en un almacenamiento blob de Microsoft Azure. Los documentos no tenían protección alguna y podían ser vistos por cualquiera sin ningún tipo de autenticación.
El fallo es especialmente preocupante por la naturaleza extremadamente personal y lógicamente secreta de estos documentos, desde evaluaciones de salud ocupacional, reclamaciones de empresas estadounidenses suscritas por la aseguradora Lloyds de Londres, informaciones de envíos de FedEx junto con datos médicos muy sensibles y al menos un pasaporte. El blob también incluía documentos muy personales, como las opiniones privadas de abogados senior sobre colegas jóvenes en busca de un ascenso.
El blob en cuestión estaba gestionado por el desarrollador de aplicaciones Probase con sede en Surrey, Inglaterra. Según The Register, contenía 587.000 archivos, que van desde correos electrónicos respaldados hasta cartas, hojas de cálculo, capturas de pantalla y más.
Azure Blob Storage es una función de Microsoft Azure que permite a los usuarios almacenar grandes cantidades de datos no estructurados en la nube corporativa de Microsoft.
- Google e Intel alertan de un fallo de seguridad grave en Linux
- Alerta de seguridad: un nuevo tipo de estafa por email engaña hasta a los expertos
- Personalizar tu celular Android es un peligro para tu seguridad
La culpa también es de Microsoft
Como apunta The Register, el investigador de seguridad Oliver Hough descubrió el pastel y alucinó con la falta de controles de seguridad. Según Hough, "encontrar un depósito de almacenamiento como éste, en el que un proveedor almacena todos los archivos de sus clientes en lugar de crear un almacenamiento separado para cada cliente, demuestra como los conceptos básicos de la seguridad todavía no se siguen en 2020".
Según el director de Probase, Paul Brown, están trabajando estrechamente con la Oficina del Comisionado de Información para resolver el problema. Sin embargo, Brown no comentó cuánto tiempo han dejado estos datos sin protección.
Éste es sólo uno de los últimos casos de filtraciones de datos a través del almacenamiento de blobs de Azure de Microsoft. Y si bien es verdad que la mayor parte de la culpa recae en los desarrolladores que no siguen los protocolos de seguridad, como Probase, Microsoft también tiene bastante culpa desde el punto en que Azure permite a los desarrolladores crear silos de datos tan inseguros en vez de obligar a asegurar toda la información almacenada en su nube.
Are you a pro? Subscribe to our newsletter
Sign up to the TechRadar Pro newsletter to get all the top news, opinion, features and guidance your business needs to succeed!
With almost two decades of writing and reporting on Linux, Mayank Sharma would like everyone to think he’s TechRadar Pro’s expert on the topic. Of course, he’s just as interested in other computing topics, particularly cybersecurity, cloud, containers, and coding.
Most Popular
By James Ide
By Rhys Wood