Mercado fechado
  • BOVESPA

    114.064,36
    +1.782,08 (+1,59%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    51.464,27
    +125,93 (+0,25%)
     
  • PETROLEO CRU

    73,24
    +1,01 (+1,40%)
     
  • OURO

    1.742,80
    -36,00 (-2,02%)
     
  • BTC-USD

    44.635,54
    +1.209,97 (+2,79%)
     
  • CMC Crypto 200

    1.119,18
    +10,26 (+0,92%)
     
  • S&P500

    4.448,98
    +53,34 (+1,21%)
     
  • DOW JONES

    34.764,82
    +506,50 (+1,48%)
     
  • FTSE

    7.078,35
    -5,02 (-0,07%)
     
  • HANG SENG

    24.510,98
    +289,44 (+1,19%)
     
  • NIKKEI

    29.639,40
    -200,31 (-0,67%)
     
  • NASDAQ

    15.296,00
    +132,50 (+0,87%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    6,2239
    +0,0151 (+0,24%)
     

Sistema de criação de apps da Microsoft expôs dados de milhões de pessoas

·3 minuto de leitura

Uma falha de configuração em um sistema de criação de aplicações da Microsoft levou à exposição dos dados de milhões de pessoas em todo o mundo. A brecha foi encontrada em um sistema chamado Power Apps, que permite a montagem rápida de sistemas empresariais, cujas preferências padrões permitiam a disponibilização pública das informações registradas pelos usuários.

De acordo com o relatório dos especialistas da Upguard, responsáveis pela descoberta, estavam disponíveis 38 milhões de registros relacionados às aplicações criadas por 47 entidades, incluindo órgãos de cidades como Nova York e do estado americano de Maryland. Empresas como American Airlines, Ford e até mesmo a própria Microsoft também estão entre as atingidas.

Por se tratar de um sistema de criação de apps, com direito a interfaces de usuário e também plataforma de gerenciamento e análise de dados, as informações disponíveis eram dos mais diferentes tipos. Os registros incluam desde nomes, endereços e telefones até documentos pessoais e empregatícios, cadastros para vagas de trabalho e prontuários de saúde, incluindo comprovantes de vacinação contra a COVID-19. A brecha foi descoberta pela Upguard em maio e, apesar da gravidade, não existem registros de que a exposição levou ao vazamento das informações.

Seja por desatenção ou falta de conhecimento, a raiz do problema estava no fato de os Power Apps, por padrão, permitirem a disponibilização pública dos dados, com configurações manuais levando a mais privacidade. Greg Pollock, vice-presidente de pesquisa em cibersegurança da Upguard, foi ao encontrar tais preferências em um aplicativo específico que a equipe decidiu investigar o caso, acabando por chegar ao volume de milhões de registros.

Os especialistas chamaram a atenção para o teor altamente sensível de alguns dos bancos de dados expostos. No caso da Microsoft, por exemplo, estavam disponíveis informações de folha de pagamento de funcionários e aplicações de suporte a empresas, enquanto registros do estado americano de Indiana traziam o histórico de localização de cidadãos, coletados para controlar a disseminação do novo coronavírus.

<em>Alguns exemplos de registros expostos em vazamento causado por má configuração de softwares criados pelo sistema Power Apps (Imagem: Reprodução/Upguard)</em>
Alguns exemplos de registros expostos em vazamento causado por má configuração de softwares criados pelo sistema Power Apps (Imagem: Reprodução/Upguard)

As descobertas foram informadas à Microsoft e também a algumas das organizações atingidas. Neste mês de agosto, a gigante de Redmond anunciou uma atualização para o sistema de Power Apps, tornando padrão a configuração em que os dados são privados. A empresa também liberou uma ferramenta que permite checar o status de segurança das aplicações criadas a partir da ferramenta.

Enquanto não existem indícios de que os dados expostos foram baixados ou manipulados por terceiros maliciosos, a recomendação é de atenção para as empresas de tecnologia quando à configuração de servidores. A Upguard recomenda uma checagem completa das infraestruturas, principalmente em relação às configurações padronizadas, que podem levar a brechas desse tipo, bastante comuns no setor de tecnologia.

Além disso, os especialistas indicam que as fornecedoras de serviços e hospedagens facilitem a visualização de logs de acesso e configurações de privacidade, de forma que vulnerabilidades desse tipo possam ser mitigadas de forma mais simples. A Upguard pede, ainda, um trabalho mais proativo de tais companhias, que poderiam agir em falhas assim para evitar um vazamento de dados.

Fonte: Canaltech

Trending no Canaltech:

Nosso objetivo é criar um lugar seguro e atraente onde usuários possam se conectar uns com os outros baseados em interesses e paixões. Para melhorar a experiência de participantes da comunidade, estamos suspendendo temporariamente os comentários de artigos