0
0
Dados foram expostos por uma mudança que as organizações fizeram em uma configuração de software da Microsoft
Avião da American Airlines, uma das empresas afetadas pelo vazamento
Dezenas de grandes empresas, agências estaduais e federais e outras organizações dos Estados Unidos expuseram milhões de informações pessoais na internet por meses por causa de uma configuração do software da Microsoft, de acordo com pesquisadores de cibersegurança.
O vazamento de dados, que afetou a American Airlines, o departamento de saúde do estado de Maryland e a Autoridade de Transporte Metropolitano de Nova York, entre outros, levou à exposição de pelo menos 38 milhões de registros, incluindo informações de funcionários, dados relacionados às vacinas contra a Covid-19 e rastreamento de contatos de acordo com a UpGuard, a empresa de segurança cibernética que descobriu o problema.
Depois que a UpGuard notificou a Microsoft e as organizações afetadas, os vazamentos foram bloqueados e já não é possível acessar as informações.
Mas, enquanto as informações não eram seguras, nomes, números do Seguro Social, números de telefone, datas de nascimento, informações demográficas, endereços e até mesmo datas de testes toxicológicos dos funcionários estavam disponíveis para qualquer pessoa com conhecimento e vontade de procurar, disse a UpGuard.
No caso da Ford, listas de veículos distribuídos a concessionárias também foram expostas. “Quando soubemos sobre o problema, agimos rapidamente para avaliar o risco (baixo) e fechar a lacuna”, disse o porta-voz da Ford, T.R. Reid, ao CNN Business. “Não houve violação de informações pessoais confidenciais.”
Não está claro quais agências federais podem ter sido afetadas pelo problema.
A causa
O problema aconteceu por causa de uma configuração de privacidade no Microsoft Power Apps, um produto amplamente usado por entidades públicas e privadas para compartilhar dados.
Algumas organizações, como agências de saúde pública, têm usado o Power Apps para permitir que cidadãos acessem detalhes de seus resultados de teste de Covid-19 ou registros de vacinação. Outras organizações usaram o software para fins de manutenção de registros internos.
Por padrão, uma configuração de acesso projetada para limitar quais dados um usuário pode ver e que poderia ter evitado os vazamentos foi desativada, segundo o relatório da UpGuard. A empresa disse que descobriu o problema pela primeira vez em uma organização em 24 de maio.
Após varrer a web em busca de bancos de dados inseguros semelhantes e encontrar vários outros exemplos, a UpGuard relatou o problema à Microsoft em 24 de junho como uma vulnerabilidade de software em potencial.
De acordo com o relatório, a Microsoft respondeu dizendo que as configurações estavam funcionando conforme o planejado.
UpGuard disse que começou a notificar as organizações afetadas no início de julho, com muitas resolvendo o vazamento em poucos dias. No final de julho, os dados hospedados em um domínio que parecia apoiar o uso do Power Apps pelas agências governamentais dos Estados Unidos não eram mais públicos, disse UpGuard.
Dados sensíveis protegidos
Várias das organizações afetadas contatadas pelo CNN Business, incluindo a American Airlines, a agência de saúde de Maryland e o Departamento de Educação de Nova York, confirmaram que seus sistemas foram protegidos e que não há indicação de que seus dados foram acessados indevidamente.
A Microsoft disse à CNN que apenas um pequeno número de seus clientes configurou seus sistemas de uma forma que permitia que os dados fossem acessados por pessoas não autorizadas.
“Levamos a segurança e a privacidade a sério e encorajamos nossos clientes a usar as melhores práticas ao configurar produtos da maneira que melhor atendam às suas necessidades de privacidade”, disse um porta-voz da Microsoft em comunicado. Desde então, a empresa alterou as configurações de segurança do software para torná-lo mais restritivo por padrão para alguns usuários.
Pelo menos 47 organizações estavam expondo suas informações sem saber devido à configuração incorreta, disse a UpGuard em um relatório publicado na segunda-feira. A empresa disse à CNN que pode haver mais organizações sobre as quais ela não descobriu.
Como o problema não havia sido identificado anteriormente, não era algo que a maioria das organizações sabia que deveria procurar em suas auditorias de segurança existentes, disse Kelly Rethmeyer, porta-voz da UpGuard.
“Isso é o que torna tantas organizações vulneráveis a este problema”, disse Rethmeyer, acrescentando que “na maior parte, nossa experiência foi que as pessoas eram muito receptivas a querer resolver isso rapidamente e corrigir, e ninguém estava ciente que isso era uma preocupação potencial de segurança.”
Outras organizações citadas no relatório da UpGuard incluem a gigante de fretes JB Hunt, o governo estadual de Indiana e a própria Microsoft. JB Hunt não respondeu imediatamente a um pedido de comentário. Um porta-voz do estado de Indiana se recusou a comentar.
Em um comunicado, a American Airlines disse que sua versão da configuração incorreta afetou “as informações de contato comercial relativas aos gerentes de viagens corporativas”.
“Os dados dos passageiros não foram afetados”, disse o porta-voz da empresa, Andrea Koos.
Charles Gischlar, porta-voz do departamento de saúde de Maryland, disse que a agência investigou o relatório da UpGuard e descobriu que “não havia nada que sugerisse qualquer tipo de divulgação de informações pessoais identificáveis ou informações pessoais de saúde em qualquer ponto”.
Um porta-voz das escolas da cidade de Nova York disse que o departamento está comprometido em proteger a privacidade de suas comunidades escolares e que medidas foram tomadas para proteger os dados e evitar outro vazamento.
(Esta matéria foi traduzida. Clique aqui para ler a versão original, em inglês)
FONTE: CNN BRASIL