Configurações padrão na ferramenta da Microsoft responsabilizada por expor dados de 38 milhões de usuários online
Esses dados incluem nomes, endereços, informações financeiras e status de vacinação da Covid-19. No entanto, felizmente, enquanto os dados foram expostos, não houve sinais de comprometimento antes de o vazamento ser resolvido.
Quem são as organizações afetadas
Diz-se que cerca de 47 organizações e entidades governamentais dos EUA foram afetadas por este violação de dados. Os nomes incluem American Airlines, Ford, JB Hunt e órgãos públicos como o Departamento de Saúde de Maryland e o sistema de transporte público da cidade de Nova York.
Como a exposição aconteceu
O vice-presidente de pesquisa cibernética da UpGuard, Greg Pollock, disse à Wired, que primeiro relatou a exposição de dados, que pesquisadores da empresa começaram a investigar um grande número de portais de Power Apps que expunham publicamente dados que deveriam ser privados, incluindo em alguns Power Apps que a Microsoft feito para uso próprio, em maio deste ano. “Encontramos um deles que estava configurado incorretamente para expor os dados e pensamos, nunca ouvimos falar disso, é algo isolado ou é um problema sistêmico?” ele disse. “Devido à forma como o produto dos portais Power Apps funciona, é muito fácil fazer uma pesquisa rapidamente. E descobrimos que há toneladas deles expostos. Foi incrível”, acrescentou. Eles então divulgaram as descobertas para a Microsoft.
Como a Microsoft resolveu isso
A Microsoft disse que permite que os clientes saibam quando riscos potenciais de segurança foram descobertos para permitir que eles consertem os problemas. “Levamos a segurança e a privacidade a sério e encorajamos nossos clientes a usar as melhores práticas ao configurar os produtos da maneira que melhor atendam às suas necessidades de privacidade”, disse um porta-voz. A empresa anunciou que os portais de Power Apps agora irão armazenar dados API e outras informações de forma privada. Também lançou uma ferramenta que permite aos clientes verificar as configurações do portal.
Por sua vez, a Microsoft afirma que não se trata de uma vulnerabilidade, pois os aplicativos foram configurados de acordo com as permissões dos usuários.
FacebookTwitterLinkedin
Source link