Skip to main content

Encuentran más de medio millón de ficheros secretos desprotegidos en Microsoft Azure

Unbreakable Lock
(Image credit: KAUST)

Un investigador de seguridad ha descubierto más de medio millón de documentos confidenciales de sus clientes totalmente desprotegidos en Internet, en un almacenamiento blob de Microsoft Azure. Los documentos no tenían protección alguna y podían ser vistos por cualquiera sin ningún tipo de autenticación.

El fallo es especialmente preocupante por la naturaleza extremadamente personal y lógicamente secreta de estos documentos, desde evaluaciones de salud ocupacional, reclamaciones de empresas estadounidenses suscritas por la aseguradora Lloyds de Londres, informaciones de envíos de FedEx junto con datos médicos muy sensibles y al menos un pasaporte. El blob también incluía documentos muy personales, como las opiniones privadas de abogados senior sobre colegas jóvenes en busca de un ascenso.

El blob en cuestión estaba gestionado por el desarrollador de aplicaciones Probase con sede en Surrey, Inglaterra. Según The Register, contenía 587.000 archivos, que van desde correos electrónicos respaldados hasta cartas, hojas de cálculo, capturas de pantalla y más.

Azure Blob Storage es una función de Microsoft Azure que permite a los usuarios almacenar grandes cantidades de datos no estructurados en la nube corporativa de Microsoft. 

La culpa también es de Microsoft

Como apunta The Register, el investigador de seguridad Oliver Hough descubrió el pastel y alucinó con la falta de controles de seguridad. Según Hough, "encontrar un depósito de almacenamiento como éste, en el que un proveedor almacena todos los archivos de sus clientes en lugar de crear un almacenamiento separado para cada cliente, demuestra como los conceptos básicos de la seguridad todavía no se siguen en 2020".

Según el director de Probase, Paul Brown, están trabajando estrechamente con la Oficina del Comisionado de Información para resolver el problema. Sin embargo, Brown no comentó cuánto tiempo han dejado estos datos sin protección.

Éste es sólo uno de los últimos casos de filtraciones de datos a través del almacenamiento de blobs de Azure de Microsoft. Y si bien es verdad que la mayor parte de la culpa recae en los desarrolladores que no siguen los protocolos de seguridad, como Probase, Microsoft también tiene bastante culpa desde el punto en que Azure permite a los desarrolladores crear silos de datos tan inseguros en vez de obligar a asegurar toda la información almacenada en su nube.