Falha de segurança no Power Apps da Microsoft expõe 38 milhões de dados de usuários
Uma das ferramentas mais populares entre usuários de Windows apresenta uma falha de segurança que pode ter levado ao vazamento de milhões de registros de dados. É o que apontam pesquisadores da empresa UpGuard, que descobriram recentemente que 47 entidades distintas — incluindo governos, empresas e a própria Microsoft — podem ter sido atingidas pela brecha.
O erro em questão atinge o Power Apps da Microsoft, uma plataforma de desenvolvimento que permite que as organizações criem aplicativos web mais rapidamente. Muitos governos têm usado o serviço para criar interfaces de rastreamento de contato Covid-19, por exemplo.
Acontece que, junto com tamanha facilidade, plataforma gerencia uma quantidade massiva de dados em segundo plano. E aí que mora o perigo, já que os pesquisadores de segurança verificaram que algumas configurações incorretas do produto podem deixar inúmeras informações expostas publicamente na internet.
Além de autoridades e grandes empresas, a lista de alvos afetados inclui os governos estaduais de Maryland e Indiana, e órgãos públicos da cidade de Nova York, entre eles Metropolitan Transportation Authority (MTA), responsável pelo transporte público no município. Também estão vulneráveis companhias privadas, incluindo American Airlines e a empresa de transporte e logística J.B. Hunt.
Os pesquisadores da UpGuard escrevem que o acervo de dados vazados traz ainda muitas coisas confidenciais, incluindo “informações pessoais usadas para rastreamento de contato de Covid-19 e nomes de pessoas vacinadas, números de previdência social para candidatos a emprego, IDs de funcionários e milhões de nomes e endereço de e-mail”.
Erro teria partido internamente na Microsoft
De acordo com os pesquisadores, a própria Microsoft parece ter configurado incorretamente vários de seus bancos de dados do Power Apps, deixando vários registros expostos. Um deles, aparentemente, incluía uma “coleção de 332 mil endereços de e-mails usados por funcionários para os serviços globais de folha de pagamento da Microsoft”.
Em junho, a UpGuard entrou em contato com o Security Resource Center da Microsoft para enviar um relatório de vulnerabilidade, alertando a empresa sobre o problema generalizado. Ao todo, 38 milhões de registros de usuários foram expostos como resultado dos vazamentos observados pelos pesquisadores. A UpGuard concluiu que a Microsoft não divulgou este problema de segurança o suficiente, e que mais deveria ter sido feito para alertar os clientes sobre os perigos da configuração incorreta.
“O número de contas que expõem informações confidenciais indica que o risco desse recurso — a probabilidade e o impacto de sua configuração incorreta — não foi avaliado adequadamente. Por um lado, a documentação do produto descreve com precisão o que acontece se um aplicativo for configurado dessa forma. Por outro, a evidência estudada sugere que um aviso na documentação técnica não é suficiente para evitar as consequências graves da configuração incorreta de feeds de lista OData para portais do Power Apps”, escreveu a UpGuard.
Desde que foi alertada, a Microsoft mudou as permissões e configurações padrão relacionadas ao Power Apps para tornar o produto mais seguro.