Computer Security 38 Milhões de Registros de Pacientes ficam Expostos...

38 Milhões de Registros de Pacientes ficam Expostos Online após uma Violação de Dados Importante

Uma grande falha de segurança nos portais OpenAI Power Apps da Microsoft afetou centenas de aplicativos, expondo cerca de 38 milhões de registros até agora. Os últimos variam de certificados de vacinação contra o Covid-19 a dados pessoais, incluindo status de emprego, números de telefone e endereço, números de previdência social, etc. As vítimas trabalham em pequenas e grandes empresas em vários setores e instituições públicas, como escolas e hospitais.

Um Problema Adormecido por Meses?

Problemas de segurança relacionados à plataforma Power Apps parecem estar em movimento desde maio de 2021. Em vez de manter os dados do usuário privados, uma grande parte dos aplicativos disponíveis no portal Power Apps da Microsoft os mantém amplamente disponíveis para terceiros interessados. A razão pela qual tal vulnerabilidade surgiu está relacionada às interfaces de programação de aplicativos (APIs) oferecidas pela plataforma Power Apps para ajudar os desenvolvedores de software a construir aplicativos móveis e da Web por conta própria. Em teoria, as APIs devem permitir que os desenvolvedores coletem os dados de que precisam sem compartilhá-los em outro lugar. Embora coletassem registros, essas APIs não os mantinham privados. Além disso, eles os tornaram públicos por padrão, porque parece que foi assim que eles foram configurados em primeiro lugar. Portanto, os desenvolvedores tiveram que fazer ajustes manuais para evitar que as APIs Power Apps da Microsoft exponham dados que, de outra forma, deveriam ser mantidos em segredo.

E a Correção?

Inicialmente, relutantes em abordar o problema, os especialistas em segurança da Microsoft têm instado seus clientes "a usar as melhores práticas ao configurar produtos de forma que melhor atendam às suas necessidades de privacidade." Além disso, todas as APIs disponíveis na plataforma Power Apps devem manter os dados privados por padrão, sem exigindo quaisquer movimentos adicionais em nome do cliente. A Microsoft chegou a extremos ainda mais extraordinários, lançando uma ferramenta de diagnóstico Portal Checker exclusiva para ajudar os clientes a identificar suas configurações de API personalizadas.

Divisão dos Dados Expostos

Os registros expostos variam em termos de assunto. Alguns deles eram relacionados a funcionários da American Airlines, enquanto outros apontavam para escolas da cidade de Nova York. Aproximadamente 0,3 milhão de endereços de e-mail e 40 mil dossiês de realidade mista também podem ter caído nas mãos erradas.

Carregando...