Microsoft expõe dados de 38 milhões de pessoas por configuração errada

Uma falha em um dos produtos da Microsoft pode ter ajudado a expor, indiretamente, os dados de ao menos 38 milhões de pessoas. O problema afeta empresas que utilizavam a plataforma Power Apps e pode estar rolando desde pelo menos maio deste ano.

Microsoft Power Apps

A descoberta foi feita por um dos time de segurança da informação da UpGuard, que encontrou uma brecha não reportada no software corporativo e percebeu que sua ramificação era muito maior do que se imaginava.

O Power Apps é um serviço que permite a empresas e organizações de todos os tipos e tamanhos criar aplicativos online simples e páginas na internet – como formulários de cadastro – sem nenhum conhecimento prévio de programação.

A facilidade de uso fez com que marcas como Ford e American Airlines – além de diversos grupos governamentais dos EUA – adotassem o produto e, por meio dele, coletassem uma infinidade de dados de seus clientes, parceiros e colaboradores.

Reprodução: Markus Spiske/Unsplash

O problema? Por padrão, o Microsoft Power Apps estava liberando o acesso aos dados privados ou sensíveis da mesma forma que informações públicas, ou seja, completamente aberto para terceiros.

Reveja as configurações

Tudo indica que a Microsoft já corrigiu a configuração problemática e que os dados expostos – como nomes, endereços, números de documentos e até certificados de vacinação contra a Covid – não foram utilizados para fins escusos.

Mesmo assim, o episódio é um alerta claro de que não são apenas bugs, ataques de ransomware ou ações de engenharia social que colocam em risco nossos dados, mas também o descuido das empresas na hora de realizar ajustes simples de software.

Fonte: The Verge