Microsoft Power Apps 'acidente' expõe 38 milhões de usuarios

 

Acidentalmente, 38 milhões de registros de pessoas que as utilizavam. Grandes companhias estão envolvidas no caso, alertam profissionais de segurança digital da UpGuard.

Descoberta, a ferramenta da big tech, além de gerenciar bancos de dados para o desenvolvimento de novos recursos e de oferecer bases de programação, fornece interfaces prontas. Entretanto, ao ativar tais APIs, contratantes não perceberam que o acesso público às informações com as quais lidavam era padrão e que a privacidade devia ser ativada manualmente.

Social e status de vacinação podiam ser acessados por terceiros, dependendo da organização. American Airlines, Ford, J.B. Hunt, Departamento de Saúde de Maryland, Metropolitan Transportation Authority (MTA) e escolas públicas de Nova York caíram na "armadilha".


Própria Microsoft ficaram de fora. "Encontramos um exemplo e até então não havíamos tido contato com algo do tipo. Por isso, questionamos se era um fato isolado ou problema sistêmico. Descobrimos a existência de 'toneladas' de situações parecidas. Foi absurdo", contou Greg Pollock, vice-presidente de pesquisa cibernética da UpGuard, à Wired.

Rastreamento de covid-19, a inscrições de vacinação, portais de candidatura a empregos e bancos de dados de funcionários. De todo modo, salientam os cientistas, mesmo que instituições robustas tenham sido afetadas, os dados dizem respeito somente ao que estava integrado nos apps, não a tudo o que eventualmente possuíssem.

Está segura, afirma Pollock, que explica a motivação para tornar tudo público somente agora: "Sentimos que tínhamos o dever ético de proteger pelo menos os dados mais sensíveis antes de podermos falar sobre as questões sistêmicas."habilitando armazenamento e gerenciamento privado de informações por padrão, e lançou uma ferramenta de verificação para quem se interessasse.



FONTE: TECMUNDO

Postar um comentário

0 Comentários