2021-8-25

SECURITY

Má configuração expõe informações de quase 40 milhões de utilizadores

Várias grandes empresas, agências governamentais e outras organizações configuraram mal o seu software Microsoft e, inadvertidamente, expôs milhões de dados pessoais

Má configuração expõe informações de quase 40 milhões de utilizadores

Dezenas de grandes empresas, agências governamentais e outras organizações que configuraram incorretamente o seu software Microsoft, inadvertidamente, expuseram milhões de informações pessoais de pessoas à Internet pública durante meses.

A má configuração, que afetou, pelo menos, a American Airlines, a Ford, o departamento de saúde do estado de Maryland e a Autoridade de Transporte Metropolitano de Nova Iorque, entre outros, levou à exposição de pelo menos 38 milhões de registos, incluindo informações de funcionários, bem como dados relacionados com as vacinas Covid-19, rastreamento de contatos e marcações de testes. A informação foi revelada pela empresa de cibersegurança UpGuard, que descobriu o problema.

Depois de a UpGuard ter notificado – de forma privada - a Microsoft e as organizações afetadas, o data leak foi bloqueado e a capacidade de aceder às informações foi removida. No entanto, enquanto as informações não estavam seguras, nomes, números de segurança social, números de telefone, datas de nascimento, informações demográficas, endereços e até mesmo datas de testes e dados de filiação sindical estavam disponíveis para qualquer pessoa com conhecimento e motivação para os procurar.

Os dados expostos foram armazenados no serviço PowerApps da Microsoft, uma plataforma de desenvolvimento que facilita a criação de aplicações web ou móveis para uso externo. Além de gerir bancos de dados internos e oferecer uma base para desenvolver aplicações, a plataforma PowerApps também fornece interfaces de programação de aplicações prontas para interagir com esses dados.

Os investigadores da Upguard perceberam que, ao habilitar essas API, a plataforma padronizou para tornar os dados correspondentes acessíveis publicamente. A ativação das configurações de privacidade foi um processo manual. Como resultado, muitos clientes configuraram incorretamente as suas aplicações e deixaram, por padrão, as mesmas inseguras.

ARTIGOS RELACIONADOS

Microsoft Azure integrado com Avaya OneCloud CPaaS
CLOUD

Microsoft Azure integrado com Avaya OneCloud CPaaS

LER MAIS

Aplicações Microsoft 365 estão perto de deixar de trabalhar com Internet Explorer 11
BIZ

Aplicações Microsoft 365 estão perto de deixar de trabalhar com Internet Explorer 11

LER MAIS

Microsoft é das marcas mais utilizadas para phishing
SECURITY

Microsoft é das marcas mais utilizadas para phishing

LER MAIS

Recomendado pelos leitores

Investimento em cibersegurança em Portugal deverá chegar aos 250 milhões de euros
SECURITY

Investimento em cibersegurança em Portugal deverá chegar aos 250 milhões de euros

LER MAIS

Lançada solução de assessment comportamental relacionada com cibersegurança em Portugal
SECURITY

Lançada solução de assessment comportamental relacionada com cibersegurança em Portugal

LER MAIS

Akamai adiciona novas capacidades ao Account Protector
SECURITY

Akamai adiciona novas capacidades ao Account Protector

LER MAIS

IT CHANNEL Nº 112 NOVEMBRO 2024

IT CHANNEL Nº 112 NOVEMBRO 2024

VER EDIÇÕES ANTERIORES

O nosso website usa cookies para garantir uma melhor experiência de utilização.