Publicidade

Sistema de criação de apps da Microsoft expôs dados de milhões de pessoas

Por| Editado por Jones Oliveira | 24 de Agosto de 2021 às 16h20

Link copiado!

Divulgação/Microsoft
Divulgação/Microsoft
Tudo sobre Microsoft

Uma falha de configuração em um sistema de criação de aplicações da Microsoft levou à exposição dos dados de milhões de pessoas em todo o mundo. A brecha foi encontrada em um sistema chamado Power Apps, que permite a montagem rápida de sistemas empresariais, cujas preferências padrões permitiam a disponibilização pública das informações registradas pelos usuários.

De acordo com o relatório dos especialistas da Upguard, responsáveis pela descoberta, estavam disponíveis 38 milhões de registros relacionados às aplicações criadas por 47 entidades, incluindo órgãos de cidades como Nova York e do estado americano de Maryland. Empresas como American Airlines, Ford e até mesmo a própria Microsoft também estão entre as atingidas.

Por se tratar de um sistema de criação de apps, com direito a interfaces de usuário e também plataforma de gerenciamento e análise de dados, as informações disponíveis eram dos mais diferentes tipos. Os registros incluam desde nomes, endereços e telefones até documentos pessoais e empregatícios, cadastros para vagas de trabalho e prontuários de saúde, incluindo comprovantes de vacinação contra a COVID-19. A brecha foi descoberta pela Upguard em maio e, apesar da gravidade, não existem registros de que a exposição levou ao vazamento das informações.

Continua após a publicidade

Seja por desatenção ou falta de conhecimento, a raiz do problema estava no fato de os Power Apps, por padrão, permitirem a disponibilização pública dos dados, com configurações manuais levando a mais privacidade. Greg Pollock, vice-presidente de pesquisa em cibersegurança da Upguard, foi ao encontrar tais preferências em um aplicativo específico que a equipe decidiu investigar o caso, acabando por chegar ao volume de milhões de registros.

Os especialistas chamaram a atenção para o teor altamente sensível de alguns dos bancos de dados expostos. No caso da Microsoft, por exemplo, estavam disponíveis informações de folha de pagamento de funcionários e aplicações de suporte a empresas, enquanto registros do estado americano de Indiana traziam o histórico de localização de cidadãos, coletados para controlar a disseminação do novo coronavírus.

As descobertas foram informadas à Microsoft e também a algumas das organizações atingidas. Neste mês de agosto, a gigante de Redmond anunciou uma atualização para o sistema de Power Apps, tornando padrão a configuração em que os dados são privados. A empresa também liberou uma ferramenta que permite checar o status de segurança das aplicações criadas a partir da ferramenta.

Continua após a publicidade

Enquanto não existem indícios de que os dados expostos foram baixados ou manipulados por terceiros maliciosos, a recomendação é de atenção para as empresas de tecnologia quando à configuração de servidores. A Upguard recomenda uma checagem completa das infraestruturas, principalmente em relação às configurações padronizadas, que podem levar a brechas desse tipo, bastante comuns no setor de tecnologia.

Além disso, os especialistas indicam que as fornecedoras de serviços e hospedagens facilitem a visualização de logs de acesso e configurações de privacidade, de forma que vulnerabilidades desse tipo possam ser mitigadas de forma mais simples. A Upguard pede, ainda, um trabalho mais proativo de tais companhias, que poderiam agir em falhas assim para evitar um vazamento de dados.

Fonte: Upguard