Uma configuração errada na utilização da plataforma Microsoft Power Apps, que permite a empresas e outras organizações o desenvolvimento de sites e aplicações web, expôs 38 milhões de dados de, pelo menos, 46 entidades. A descoberta foi revelada esta semana pela empresa de cibersegurança UpGuard, que alertou a Microsoft em junho para o problema detetado – e entretanto corrigido.
Entre os dados expostos e facilmente acessíveis estavam “milhões de nomes e endereços de e-mail”, revela a UpGuard no seu blogue, mas também informações salariais, números de funcionário, números de segurança social e informações relacionadas com o processo de vacinação nos EUA. As mais de 40 entidades cujos sites e aplicações tinham dados pessoais ou sensíveis expostos são americanas e incluem os governos locais dos estados de Maryland e Nova Iorque, bem como algumas empresas de grande dimensão, como a própria Microsoft e a American Airlines.
Em causa está uma funcionalidade do Power Apps conhecida como Protocolo de Dados Abertos (OData na designação em inglês). Este sistema permite que um site construído em Power Apps consiga ir buscar dados a uma determinada lista, com o objetivo de usar esses dados para mostrar informação no site ou aplicação em causa. Mas para limitar o acesso aos dados da lista, a pessoa que configura o site tinha de ativar uma funcionalidade conhecida como Permissões de Tabela (Table Permissions) – desta forma, só pessoas devidamente credenciadas teriam acesso aos dados da lista. Sem a ativação desta permissão, então os dados das listas também ficariam disponíveis para, virtualmente, qualquer utilizador que soubesse onde procurar.
“Por um lado, a documentação do produto descreve com precisão o que acontece se uma aplicação for configurada desta forma [errada]. Por outro, as provas empíricas sugerem que um aviso na documentação técnica não é suficiente para evitar sérias consequências de más configurações de listagem de dados para os portais [feitos com] Power Apps”, sublinha a UpGuard na divulgação que faz do problema.
A natureza do problema – ser resultado de uma má configuração de segurança e não uma vulnerabilidade no próprio software – faz com que não seja classificado como uma vulnerabilidade típica, mas a escala da má utilização daquela configuração, sobretudo por desconhecimento das consequências da mesma, levam a UpGuard a classificar o tema como uma falha grave de segurança de qualquer das formas.
Como resposta ao caso, a Microsoft entrou em contacto com várias organizações que têm sites e aplicações criados em Power Apps e os novos sites criados passam a ter automaticamente as listas de dados com acesso condicionado a uma autenticação. A tecnológica norte-americana disponibilizou ainda um método que permite a qualquer empresa ou organização com um site criado em Power Apps perceber se as listas de dados podem ou não ser acedidas por utilizadores anónimos.
