- Mais de 38 milhões de registros vazaram online por causa de pessoas que usam configurações padrão nos portais do Microsoft Power Apps.
- Esses dados confidenciais que foram expostos foram todos armazenados no serviço do portal Power Apps da Microsoft, de acordo com os pesquisadores.
- Ao habilitar certas APIs, a plataforma padronizou para tornar os dados correspondentes acessíveis publicamente.
- A configuração incorreta de bancos de dados baseados em nuvem tem sido um problema sério ao longo dos anos, expondo enormes quantidades de dados a acesso inadequado ou roubo.
Como você sabe, Power Apps é a plataforma de baixo código da Microsoft para que as organizações desenvolvam rapidamente aplicativos completos, principalmente para uso interno, completos com front-end e back-end.
É realmente uma ferramenta poderosa, que permite a você construir aplicativos, mesmo se você não for muito hábil em programação.
Embora a Microsoft atualize regularmente Power Apps com novos recursos e capacidades, um novo relatório pode ser motivo de preocupação para as organizações.
Parece que mais de 38 milhões de registros vazaram online por causa de pessoas que usam configurações padrão nos portais do Microsoft Power Apps.
O incidente afetou grandes empresas como American Airlines, Ford, a empresa de transporte e logística J.B. Hunt, o Departamento de Saúde de Maryland, a Autoridade de Transporte Municipal de Nova York e o público da cidade de Nova York escolas.
E embora as exposições de dados tenham sido tratadas, elas mostram como uma definição de configuração ruim em uma plataforma popular pode ter consequências de longo alcance.
Informações de rastreamento de contato expostas na Internet
Os dados expostos foram todos armazenados no serviço de portal Power Apps da Microsoft, que é uma plataforma de desenvolvimento que facilita a criação de aplicativos da web ou móveis para uso externo.
Se você precisar criar um site de inscrição de nomeação de vacina rapidamente durante, digamos, uma pandemia, os portais do Power Apps podem gerar o site voltado para o público e o back-end de gerenciamento de dados.
Em maio, pesquisadores da empresa de segurança Upguard começou a investigar um grande número de portais de Power Apps que expunham publicamente dados que deveriam ser privados.
Entre eles estavam alguns Power Apps que a Microsoft criou para seus próprios fins.
No entanto, nenhum dos dados foi comprometido, mas a descoberta ainda é importante, pois revela um descuido no design dos portais do Power Apps que já foi corrigido.
Além de gerenciar bancos de dados internos e oferecer uma base para desenvolver aplicativos, a plataforma Power Apps também fornece interfaces de programação de aplicativos prontas para interagir com esses dados.
Configuração incorreta leva à vulnerabilidade
Os pesquisadores da Upguard perceberam que, ao habilitar essas APIs, a plataforma padronizou para tornar os dados correspondentes acessíveis publicamente.
Habilitar as configurações de privacidade era um processo manual e, como resultado, muitos clientes configuraram incorretamente seus aplicativos, deixando o padrão inseguro.
Encontramos um deles que estava configurado incorretamente para expor os dados e pensamos, nunca ouvimos falar disso, é algo isolado ou é um problema sistêmico? Devido à forma como o produto de portais Power Apps funciona, é muito fácil fazer uma pesquisa rapidamente. E descobrimos que há toneladas delas expostas. Foi uma loucura.
A própria Microsoft expôs uma série de bancos de dados em seus próprios portais Power Apps, incluindo um antigo plataforma chamada Global Payroll Services, dois portais de suporte de ferramentas de negócios e um Customer Insights portal.
A configuração incorreta de bancos de dados baseados em nuvem tem sido um problema sério ao longo dos anos, expondo enormes quantidades de dados a acesso inadequado ou roubo.
Grandes empresas de nuvem como Amazon Web Services, Google Cloud Platform e Microsoft Azure tomaram medidas para armazenar os dados dos clientes em particular por padrão desde o início e sinalizar possíveis configurações incorretas, mas a indústria não priorizou o problema até que recentemente.
Os pesquisadores do Upguard não conseguiram chegar a todas as entidades, porque eram muitas, então eles também divulgaram as descobertas para a Microsoft.
Os usuários podem verificar as configurações do portal com a ferramenta da Microsoft
No início de agosto, Microsoft anunciou que os portais do Power Apps agora irão armazenar dados API e outras informações de forma privada.
A empresa Redmond também lançou uma ferramenta os clientes podem usar para verificar as configurações do portal.
Mas, entre as correções da Microsoft e as próprias notificações do UpGuard, os especialistas agora dizem que a grande maioria dos portais expostos, e todos os mais confidenciais, agora são privados.
Com outras coisas em que trabalhamos, é de conhecimento público que os intervalos de nuvem podem ser configurados incorretamente, então não é nossa responsabilidade ajudar a proteger todos eles. Mas ninguém nunca os havia limpado antes, então sentimos que tínhamos o dever ético de proteger pelo menos os mais sensíveis antes de podermos falar sobre as questões sistêmicas.
Qual é a sua opinião sobre toda esta situação? Compartilhe suas idéias conosco na seção de comentários abaixo.
