0
0
A Microsoft, que se recompõe após os problemas causados pelo PrintNightmare e ainda trabalha para corrigir uma brecha de segurança de APIs do Windows, deve enfrentar mais contratempos devido à plataforma de compilação de apps e serviços, amplamente utilizada por empresas como a Ford e a American Airlines dos Estados Unidos.
O Power Apps apresenta uma falha de design que expôs dados confidenciais para 38 milhões de registros de companhias multinacionais durante meses. A Upguard, empresa de cibersegurança australiana, mostrou que um número preocupante de usuários não estava protegendo seus bancos de dados devido às configurações padrão da plataforma.
Segundo os especialistas, permaneceram expostos os dados de usuários que não realizaram uma inesperada configuração manual de segurança. De acordo com um relatório do Wired, os dados expostos são de entidades como a American Airlines, Ford e escolas públicas de Nova York, além de um extenso banco de dados com rastreamento da Covid-19.
A descoberta inicial foi feita em maio de 2021, mas uma correção não foi totalmente efetuada até este mês. Greg Pollock, vice-presidente de pesquisa cibernética da UpGuard, afirma que não foi difícil estimar a imensa quantidade de dados que ficaram suscetíveis a vazamentos nesse meio tempo.
Devido à forma como o Power Apps funciona, é muito fácil fazer uma pesquisa rapidamente. E descobrimos que há toneladas destes [dados] expostos.
Greg Pollock
Vice-Presidente de Pesquisa Cibernética da UpGuard
Dados como o número de identificação do seguro social de pessoas que aplicaram a cargos da J.B. Hunt, empresa americana de transporte e logística, foram expostos. Por outro lado, as dimensões do ocorrido não afetaram as entidades significativamente.
O incidente ocorreu devido à fraca segurança padrão do Power Apps. Ao configurar o serviço e conectar as APIs, a plataforma torna os dados correspondentes acessíveis publicamente, caso o usuário não opte por torná-los privados. Apesar de permanecerem abertos ao público por meses, aparentemente nenhum dos dados foi comprometido.
O Power Apps, agora, armazena dados de APIs e outras informações de maneira privada. A Microsoft disponibilizou também uma ferramenta que analisa as configurações padrão da plataforma no PC, mas não comentou sobre o assunto.
FONTE: TUDO CELULAR