Microsoft Power Apps: 'acidente' expõe 38 milhões de registros
Tecmundo
Mais de mil aplicações hospedadas no Microsoft Power Apps expuseram, acidentalmente, 38 milhões de registros de pessoas que as utilizavam. Grandes companhias estão envolvidas no caso, alertam profissionais de segurança digital da UpGuard.
De acordo com a equipe à frente da descoberta, a ferramenta da big tech, além de gerenciar bancos de dados para o desenvolvimento de novos recursos e de oferecer bases de programação, fornece interfaces prontas. Entretanto, ao ativar tais APIs, contratantes não perceberam que o acesso público às informações com as quais lidavam era padrão e que a privacidade devia ser ativada manualmente.
Ferramenta facilita criação de apps, mas escondia "armadilha".
Com isso, desde telefones e endereços residenciais até números de previdência social e status de vacinação podiam ser acessados por terceiros, dependendo da organização. American Airlines, Ford, J.B. Hunt, Departamento de Saúde de Maryland, Metropolitan Transportation Authority (MTA) e escolas públicas de Nova York caíram na "armadilha".
Aliás, nem mesmo algumas aplicações criadas pela própria Microsoft ficaram de fora. "Encontramos um exemplo e até então não havíamos tido contato com algo do tipo. Por isso, questionamos se era um fato isolado ou problema sistêmico. Descobrimos a existência de 'toneladas' de situações parecidas. Foi absurdo", contou Greg Pollock, vice-presidente de pesquisa cibernética da UpGuard, à Wired.
Greg Pollock, vice-presidente de pesquisa cibernética da UpGuard.
Dever ético
Dentre as soluções avaliadas no início de maio havia plataformas voltadas ao rastreamento de covid-19, a inscrições de vacinação, portais de candidatura a empregos e bancos de dados de funcionários. De todo modo, salientam os cientistas, mesmo que instituições robustas tenham sido afetadas, os dados dizem respeito somente ao que estava integrado nos apps, não a tudo o que eventualmente possuíssem.
Inicialmente, as equipes tentaram entrar em contato com as empresas, mas optaram por notificar a Microsoft devido à expressividade da falha, o que inviabilizou a atuação isolada. A big tech, por sua vez, no início de agosto, anunciou uma mudança de configuração, habilitando armazenamento e gerenciamento privado de informações por padrão, e lançou uma ferramenta de verificação para quem se interessasse.
Por fim, não há evidências de comprometimento de registros e grande parte dos apps já está segura, afirma Pollock, que explica a motivação para tornar tudo público somente agora: "Sentimos que tínhamos o dever ético de proteger pelo menos os dados mais sensíveis antes de podermos falar sobre as questões sistêmicas."
