Vazamento expõe milhões de dados de empresas e agências governamentais dos EUA

Dezenas de grandes empresas, agências estaduais e federais e outras organizações dos Estados Unidos expuseram milhões de informações pessoais na internet por meses por causa de uma configuração do software da Microsoft, de acordo com pesquisadores de cibersegurança.

O vazamento de dados, que afetou a American Airlines, o departamento de saúde do estado de Maryland e a Autoridade de Transporte Metropolitano de Nova York, entre outros, levou à exposição de pelo menos 38 milhões de registros, incluindo informações de funcionários, dados relacionados às vacinas contra a Covid-19 e rastreamento de contatos de acordo com a UpGuard, a empresa de segurança cibernética que descobriu o problema.

Depois que a UpGuard notificou a Microsoft e as organizações afetadas, os vazamentos foram bloqueados e já não é possível acessar as informações.

Mas, enquanto as informações não eram seguras, nomes, números do Seguro Social, números de telefone, datas de nascimento, informações demográficas, endereços e até mesmo datas de testes toxicológicos dos funcionários estavam disponíveis para qualquer pessoa com conhecimento e vontade de procurar, disse a UpGuard.

No caso da Ford, listas de veículos distribuídos a concessionárias também foram expostas. “Quando soubemos sobre o problema, agimos rapidamente para avaliar o risco (baixo) e fechar a lacuna”, disse o porta-voz da Ford, T.R. Reid, ao CNN Business. “Não houve violação de informações pessoais confidenciais.”

Não está claro quais agências federais podem ter sido afetadas pelo problema.

A causa

O problema aconteceu por causa de uma configuração de privacidade no Microsoft Power Apps, um produto amplamente usado por entidades públicas e privadas para compartilhar dados.

Algumas organizações, como agências de saúde pública, têm usado o Power Apps para permitir que cidadãos acessem detalhes de seus resultados de teste de Covid-19 ou registros de vacinação. Outras organizações usaram o software para fins de manutenção de registros internos.

Por padrão, uma configuração de acesso projetada para limitar quais dados um usuário pode ver e que poderia ter evitado os vazamentos foi desativada, segundo o relatório da UpGuard. A empresa disse que descobriu o problema pela primeira vez em uma organização em 24 de maio.

Após varrer a web em busca de bancos de dados inseguros semelhantes e encontrar vários outros exemplos, a UpGuard relatou o problema à Microsoft em 24 de junho como uma vulnerabilidade de software em potencial.

De acordo com o relatório, a Microsoft respondeu dizendo que as configurações estavam funcionando conforme o planejado.

UpGuard disse que começou a notificar as organizações afetadas no início de julho, com muitas resolvendo o vazamento em poucos dias. No final de julho, os dados hospedados em um domínio que parecia apoiar o uso do Power Apps pelas agências governamentais dos Estados Unidos não eram mais públicos, disse UpGuard.

Dados sensíveis protegidos

Várias das organizações afetadas contatadas pelo CNN Business, incluindo a American Airlines, a agência de saúde de Maryland e o Departamento de Educação de Nova York, confirmaram que seus sistemas foram protegidos e que não há indicação de que seus dados foram acessados ​​indevidamente.
A Microsoft disse à CNN que apenas um pequeno número de seus clientes configurou seus sistemas de uma forma que permitia que os dados fossem acessados ​​por pessoas não autorizadas.

“Levamos a segurança e a privacidade a sério e encorajamos nossos clientes a usar as melhores práticas ao configurar produtos da maneira que melhor atendam às suas necessidades de privacidade”, disse um porta-voz da Microsoft em comunicado. Desde então, a empresa alterou as configurações de segurança do software para torná-lo mais restritivo por padrão para alguns usuários.

Pelo menos 47 organizações estavam expondo suas informações sem saber devido à configuração incorreta, disse a UpGuard em um relatório publicado na segunda-feira. A empresa disse à CNN que pode haver mais organizações sobre as quais ela não descobriu.

Como o problema não havia sido identificado anteriormente, não era algo que a maioria das organizações sabia que deveria procurar em suas auditorias de segurança existentes, disse Kelly Rethmeyer, porta-voz da UpGuard.

“Isso é o que torna tantas organizações vulneráveis ​​a este problema”, disse Rethmeyer, acrescentando que “na maior parte, nossa experiência foi que as pessoas eram muito receptivas a querer resolver isso rapidamente e corrigir, e ninguém estava ciente que isso era uma preocupação potencial de segurança.”

Outras organizações citadas no relatório da UpGuard incluem a gigante de fretes JB Hunt, o governo estadual de Indiana e a própria Microsoft. JB Hunt não respondeu imediatamente a um pedido de comentário. Um porta-voz do estado de Indiana se recusou a comentar.

Em um comunicado, a American Airlines disse que sua versão da configuração incorreta afetou “as informações de contato comercial relativas aos gerentes de viagens corporativas”.

“Os dados dos passageiros não foram afetados”, disse o porta-voz da empresa, Andrea Koos.

Charles Gischlar, porta-voz do departamento de saúde de Maryland, disse que a agência investigou o relatório da UpGuard e descobriu que “não havia nada que sugerisse qualquer tipo de divulgação de informações pessoais identificáveis ​​ou informações pessoais de saúde em qualquer ponto”.

Um porta-voz das escolas da cidade de Nova York disse que o departamento está comprometido em proteger a privacidade de suas comunidades escolares e que medidas foram tomadas para proteger os dados e evitar outro vazamento.

(Esta matéria foi traduzida. Clique aqui para ler a versão original, em inglês)