Você pode pensar que as grandes empresas teriam aprendido sobre as consequências de não bloquear as informações pessoais dos usuários até agora, depois de centenas de violações enormes – e bem divulgadas – nos últimos anos.
Mas a Microsoft é a última a ser implicada em uma enorme potencial violação de dados – com incríveis 38 milhões de detalhes pessoais de usuários colocados em risco.
O problema está nos Power Apps da Microsoft, uma ferramenta para as empresas criarem facilmente seus próprios aplicativos na nuvem. Ele tem sido usado por empresas como PayPal, Metro Bank, Toyota, Aeroporto de Heathrow, bem como muitas organizações de saúde e educacionais em todo o mundo.
No entanto, especialistas em cibersegurança revelaram esta semana que mais de 1.000 aplicativos criados com a ferramenta expuseram acidentalmente registros contendo dados pessoais confidenciais. Isso inclui informações de rastreamento da Covid, nomes, números de telefone, endereços de e-mail e até números de previdência social (amplamente usados nos Estados Unidos para provar sua identidade).
Pesquisadores alertaram 47 organizações, incluindo Ford, American Airlines, metrô de Nova York e todo o estado de Indiana, EUA, que foram expostas. Até a própria Microsoft havia feito aplicativos não seguros usando sua própria tecnologia.
As violações resultaram de aplicativos mal configurados, que acidentalmente estabeleceram registros pessoais para serem visualizados publicamente. Se uma alternância específica no aplicativo não foi alternada corretamente, até mesmo usuários anônimos poderiam acessar livremente quaisquer dados que desejassem. Algumas das informações podem até ser encontradas por meio de uma simples pesquisa no Google.
LEIA MAIS: A polícia e o governo do Reino Unido estão vulneráveis a um novo hack de e-mail da Microsoft … VOCÊ está?
Mas avisou que algo como isso poderia acontecer novamente: “À medida que mais informações são movidas online, a frequência de dados confidenciais sendo disponibilizados publicamente aumenta … Operadores de plataforma [should] aproprie-se dos problemas de configuração incorreta mais cedo, em vez de deixar que pesquisadores terceirizados identifiquem e notifiquem todas as instâncias de tais configurações incorretas. ”