Vazamento de dados expôs 38 milhões de registros, incluindo status de vacinação COVID-19

24

Uma configuração errada da Microsoft supostamente deixou dados de mais de 1.000 aplicativos da Web em aberto.

Cerca de 38 milhões de registros de cerca de mil aplicativos web que usam a plataforma de portais power apps da Microsoft foram deixados expostos online, de acordo com pesquisadores. Dizem que os registros incluíram dados dos esforços de rastreamento de contatos do COVID-19, registros de vacinas e bancos de dados de funcionários, como endereços residenciais, números de telefone, números de segurança social e situação de vacinação.

Dados de algumas grandes empresas e instituições foram expostos no incidente, de acordo com a Wired, incluindo American Airlines, Ford, o Departamento de Saúde de Indiana e escolas públicas de Nova York. A vulnerabilidade foi resolvida principalmente.

Pesquisadores da empresa de segurança Upguard começaram a investigar o assunto em maio. Eles encontraram dados de muitos portais de Power Apps que deveriam ser privados estava disponível para qualquer um acessar se soubesse onde procurar.

serviço Power Apps tem como objetivo facilitar que os clientes façam seus próprios aplicativos web e mobile. Oferece interfaces de programação de aplicativos (APIs) para os desenvolvedores usarem com os dados coletados. No entanto, a Upguard descobriu que o uso dessas APIs torna os dados obtidos através dos Portais de Aplicativos de Energia públicos por padrão, e a reconfiguração manual foi necessária para manter as informações privadas.

A Upguard diz que enviou um relatório de vulnerabilidade ao Microsoft Security Resource Center em 24 de junho, incluindo links para contas de portais de Aplicativos de Energia sobre quais dados confidenciais foram expostos e etapas para identificar APIs que permitiram acesso anônimo aos dados. Pesquisadores trabalharam com a Microsoft para esclarecer como reproduzir o problema. No entanto, um analista da Microsoft disse à empresa em 29 de junho que o caso foi encerrado e eles “determinaram que esse comportamento é considerado por design”.

Publicações Relacionadas

A Upguard então começou a notificar algumas das empresas e organizações afetadas, que se mudaram para bloquear seus dados. Ele levantou um relatório de abuso com a Microsoft em 15 de julho. Em 19 de julho, a empresa diz que a maioria dos dados dos portais de Power Apps em questão, incluindo as informações mais confidenciais, havia sido tornada privada.

A Microsoft nos forneceu a seguinte declaração após a primeira publicação desta história: “Nossos produtos fornecem aos clientes flexibilidade e recursos de privacidade para projetar soluções escaláveis que atendam a uma grande variedade de necessidades. Levamos a segurança e a privacidade a sério e encorajamos nossos clientes a usar as melhores práticas ao configurar produtos de maneiras que melhor atendam às suas necessidades de privacidade.”

No início deste mês, a Microsoft disse que os aplicativos dos portais do Power Apps manterão os dados privados por padrão quando os desenvolvedores aproveitarem as APIs. Além disso, lançou uma ferramenta para os desenvolvedores verificarem suas configurações.

Ainda não há indicação de que nenhum dos dados expostos tenha sido comprometido. Entre as informações mais confidenciais que foram deixadas em aberto estavam 332.000 endereços de e-mail e IDs de funcionários da Microsoft que são usados para folha de pagamento, de acordo com a Upguard. A empresa também diz que mais de 39.000 registros de portais relacionados ao Microsoft Mixed Reality foram expostos, incluindo nomes de usuários e endereços de e-mail.

O incidente ressalta o fato de que uma configuração errada, por mais que pareça menor, possa levar a graves violações de dados. Isso não parece ser o caso aqui, felizmente. Ainda assim, isso mostra que os desenvolvedores provavelmente devem verificar três mente suas configurações, especialmente quando conectam uma API que eles mesmos não projetaram.

Atualização 23/8 3:45 PM ET: Adicionado um comunicado da Microsoft.

Atualização 23/8 16:30 ET: Esclareceu que o problema dizia respeito aos portais do Power Apps, e não aos Aplicativos de Energia como um todo.

você pode gostar também