Pesquisadores de segurança descobriram que um grande número de aplicativos da web usando os portais Power Apps da Microsoft expôs 38 milhões de registros na Internet aberta como resultado de uma simples configuração incorreta. Embora o problema já tenha sido resolvido, deve ser uma lição aprendida que as configurações de segurança para uma plataforma de baixo código devem incluir um interruptor de privacidade ativado por padrão.
A tendência crescente de erros de segurança em grande escala está longe de acabar, conforme evidenciado por pesquisas que mostram que cerca de 38 milhões de registros de mais de mil aplicativos da web que foram construídos usando a plataforma Power Apps da Microsoft foram expostos à Internet aberta. Isso inclui dados de bancos de dados de funcionários, portais de aplicativos, ferramentas de inscrição de vacinação e plataformas de rastreamento de contatos de coronavírus, além de números de telefone, números de previdência social e endereços residenciais.
Para se ter uma ideia da gravidade desse incidente, os dados pertencem a várias grandes empresas como Ford, American Airlines, JB Hunt, além de instituições como escolas públicas de Nova York, Departamento de Saúde de Maryland, New York Autoridade Municipal de Transporte da Cidade e Departamento de Saúde de Indiana. Até mesmo alguns aplicativos feitos pela Microsoft são afetados, com mais de 332.000 endereços de e-mail e IDs de funcionários expostos.
De acordo com um relatório da Wired, pesquisadores da empresa de segurança Upguard descobriram o problema em maio. Sua investigação concluiu que mais de mil conjuntos de dados de portais Power Apps que deveriam ser privados foram disponibilizados por uma configuração incorreta aparentemente menor. Resumindo, os dados obtidos pelos desenvolvedores por meio dos portais do Power Apps eram públicos por padrão e, portanto, eles precisariam configurá-los manualmente como privados, se desejado.
Upguard relatou o problema ao Centro de Recursos de Segurança da Microsoft em 24 de junho, mas o último respondeu explicando que esse comportamento era na verdade “intencional”. Os pesquisadores então começaram a notificar as organizações afetadas e, um mês depois, quase todos os dados expostos foram tornados privados.
A boa notícia é que o problema já foi resolvido pela Microsoft, que mudou o design dos portais do Power Apps para manter os dados privados como o comportamento padrão e lançou uma ferramenta para os desenvolvedores verificarem se as configurações de segurança do portal permitem que os dados sejam acessíveis publicamente. Upguard diz que não encontrou nenhuma indicação de que os dados expostos foram comprometidos, então as organizações afetadas podem pelo menos respirar de alívio.
Em um comunicado, a Microsoft explicou: “nossos produtos fornecem aos clientes flexibilidade e recursos de privacidade para criar soluções escaláveis que atendam a uma ampla variedade de necessidades. Levamos a segurança e a privacidade a sério e encorajamos nossos clientes a usar as melhores práticas ao configurar produtos de maneiras que melhor atender às suas necessidades de privacidade. “