Quase 40 milhões de registros vazados por meio de configurações de aplicativos de baixa energia

Os pesquisadores de segurança descobriram que cerca de 38 milhões de registros de dados foram expostos online. O vazamento de dados foi causado por instâncias mal configuradas de Microsoft Power Apps. Os dados vazados incluem informações de vacinação da Covid, e-mails e números de previdência social.

Relatórios com fio informando que os dados armazenados por grandes empresas foram expostos online. Os nomes das entidades que estavam vazando registros devido aos problemas de configuração incluem escolas públicas da cidade de NY, o departamento de saúde do estado de Indiana, bem como American Airlines e fabricante de veículos Ford.

O vazamento foi descoberto por pesquisadores que trabalham com a empresa de segurança Upguard, que iniciou sua investigação há alguns meses. O resultado final foi que os dados vazados, embora supostamente protegidos, ficaram acessíveis ao público para qualquer pessoa na Internet.

O problema era causado pelo fato de que as APIs do Power App tornam públicos os dados coletados usando a API ao usar as configurações padrão. Se o proprietário do respectivo portal de aplicativo quiser ter essas informações devidamente protegidas, ele precisará reconfigurar a API e o aplicativo usados para tornar os dados seguros e privados.

Os pesquisadores envolvidos na investigação notificaram a Microsoft sobre o problema, enviando links para portais específicos do Power App que estavam vazando dados. Um tanto confuso, após uma breve troca com a Microsoft, os pesquisadores foram informados de que o problema foi resolvido, pois esse comportamento foi considerado "por design".

Os pesquisadores do Upguard então entraram em contato com empresas e entidades individuais que foram afetadas pelo problema de configuração padrão. Em poucos dias, a grande maioria das instâncias com vazamento de Power Apps foram protegidas adequadamente e o problema foi realmente resolvido.

A Microsoft divulgou uma declaração de que agora qualquer pessoa que use os portais Power Apps terá seus dados coletados protegidos e definidos como privados por padrão. Além disso, a empresa de software lançou uma ferramenta especial, projetada para ajudar os clientes a verificar a privacidade dos dados do Power Apps com facilidade.

Não há informações ou evidências de que os dados que vazaram foram extraídos ou de outra forma abusados por agentes mal-intencionados até o momento.

O incidente não levou a nada perto de um desastre de dados, mas ainda mostra que mesmo um simples descuido e confiar nas configurações padrão de uma ferramenta com a qual você não está totalmente familiarizado pode levar a riscos potenciais e problemas de segurança de dados.