Uma das ferramentas mais populares entre usuários de Windows apresenta uma falha de segurança que pode ter levado ao vazamento de milhões de registros de dados. É o que apontam pesquisadores da empresa UpGuard, que descobriram recentemente que 47 entidades distintas — incluindo governos, empresas e a própria Microsoft — podem ter sido atingidas pela brecha.
O erro em questão atinge o Power Apps da Microsoft, uma plataforma de desenvolvimento que permite que as organizações criem aplicativos web mais rapidamente. Muitos governos têm usado o serviço para criar interfaces de rastreamento de contato Covid-19, por exemplo.
Acontece que, junto com tamanha facilidade, plataforma gerencia uma quantidade massiva de dados em segundo plano. E aí que mora o perigo, já que os pesquisadores de segurança verificaram que algumas configurações incorretas do produto podem deixar inúmeras informações expostas publicamente na internet.
Além de autoridades e grandes empresas, a lista de alvos afetados inclui os governos estaduais de Maryland e Indiana, e órgãos públicos da cidade de Nova York, entre eles Metropolitan Transportation Authority (MTA), responsável pelo transporte público no município. Também estão vulneráveis companhias privadas, incluindo American Airlines e a empresa de transporte e logística J.B. Hunt.
Os pesquisadores da UpGuard escrevem que o acervo de dados vazados traz ainda muitas coisas confidenciais, incluindo “informações pessoais usadas para rastreamento de contato de Covid-19 e nomes de pessoas vacinadas, números de previdência social para candidatos a emprego, IDs de funcionários e milhões de nomes e endereço de e-mail”.
Erro teria partido internamente na Microsoft
De acordo com os pesquisadores, a própria Microsoft parece ter configurado incorretamente vários de seus bancos de dados do Power Apps, deixando vários registros expostos. Um deles, aparentemente, incluía uma “coleção de 332 mil endereços de e-mails usados por funcionários para os serviços globais de folha de pagamento da Microsoft”.
Em junho, a UpGuard entrou em contato com o Security Resource Center da Microsoft para enviar um relatório de vulnerabilidade, alertando a empresa sobre o problema generalizado. Ao todo, 38 milhões de registros de usuários foram expostos como resultado dos vazamentos observados pelos pesquisadores. A UpGuard concluiu que a Microsoft não divulgou este problema de segurança o suficiente, e que mais deveria ter sido feito para alertar os clientes sobre os perigos da configuração incorreta.
“O número de contas que expõem informações confidenciais indica que o risco desse recurso — a probabilidade e o impacto de sua configuração incorreta — não foi avaliado adequadamente. Por um lado, a documentação do produto descreve com precisão o que acontece se um aplicativo for configurado dessa forma. Por outro, a evidência estudada sugere que um aviso na documentação técnica não é suficiente para evitar as consequências graves da configuração incorreta de feeds de lista OData para portais do Power Apps”, escreveu a UpGuard.
Desde que foi alertada, a Microsoft mudou as permissões e configurações padrão relacionadas ao Power Apps para tornar o produto mais seguro.