Ferramenta da Microsoft mal utilizada vazou dados de 47 organizações

Uma nova pesquisa mostra que a configuração incorreta de uma ferramenta da web amplamente usada resultou no vazamento de dezenas de milhões de registros de dados.

Microsoft aplicações de energia, uma plataforma de desenvolvimento popular, que permite que as organizações criem rapidamente aplicativos da web, cheios de sites voltados para o público e gerenciem dados back-end relacionados. Muitos governos têm usado o Power Apps para descobrir rapidamente quais são as interfaces de rastreamento de contato para covid-19, por exemplo.

No entanto, configurações incorretas do produto podem deixar grandes conjuntos de dados expostos ao público na web – que é exatamente o que estava acontecendo.

Pesquisadores da empresa de segurança cibernética UpGuard descoberto recentemente Que até 47 entidades diferentes – incluindo governos, grandes empresas e a própria Microsoft – configuraram incorretamente os Power Apps para deixar os dados expostos.

A lista inclui algumas organizações muito grandes, incluindo os governos estaduais de Maryland e Indiana, e órgãos públicos da cidade de Nova York, como o MTA. Grandes empresas privadas, incluindo a American Airlines e a empresa de transporte e logística JB Hunt, também sofreram com vazamentos.

Os pesquisadores do UpGuard escreveram que o conjunto de dados vazados incluía muitas coisas confidenciais, incluindo Informações pessoais usadas para rastrear contatos do COVID-19, nomeações de vacinação do COVID-19, números de previdência social de candidatos a emprego, IDs de funcionários e milhões de nomes e endereços de e-mail.

De acordo com os pesquisadores, parece que a própria Microsoft configurou incorretamente vários de seus bancos de dados Power Apps, deixando grandes quantidades de seus registros expostos. Um desses itens parecia incluir “uma coleção de 332.000 endereços de e-mail e IDs de funcionários usados ​​para os serviços globais de folha de pagamento da Microsoft”, escreveram os pesquisadores.

Em junho, o UpGuard entrou em contato com o Security Resource Center da Microsoft para enviar um relatório sobre as vulnerabilidades, alertando-os sobre o problema generalizado. Ao todo, 38 milhões de registros foram expostos em decorrência dos vazamentos observados pelos pesquisadores.

O UpGuard finalmente concluiu que a Microsoft não havia divulgado adequadamente esse problema de segurança e que mais deveria ter sido feito para alertar os clientes sobre os riscos de configuração incorreta. Os pesquisadores escrevem:

O número de contas que revelam informações confidenciais … indica os riscos desse recurso – potencial e impacto configuração incorretaNão é apreciado o suficiente. Por outro lado, a documentação do produto descreve com precisão o que acontece se o aplicativo for configurado dessa forma. Por outro lado, as evidências empíricas indicam que o aviso na documentação técnica não é suficiente para evitar as consequências perigosas da configuração incorreta de feeds de menu OData para portais de Power Apps.

Divulgações do Follow UpGuard, Microsoft Desde então virou Permissões e configurações padrão relacionadas a Power Apps para tornar o produto mais seguro.