Apps criados com Power Apps podem vazar dados pessoais

Aplicativos mal configurados desenvolvidos com o Microsoft Power Apps deixam milhões de entradas de informações de identificação pessoal expostas.

Como as informações coletadas pelas empresas caem nas mãos erradas? Às vezes, os insiders vendem e, às vezes, hackers direcionados geram o vazamento, mas, na maioria das vezes, informações de identificação pessoal vazam por meio de serviços ou programas configurados incorretamente. Somando-se a montanhas de evidências disso, os pesquisadores do UpGuard descobriram que informações de identificação pessoal de 38 milhões de pessoas foram expostas. A origem do vazamento são alguns aplicativos da Web mal configurados, criados com a plataforma Microsoft Power Apps. Felizmente, os malfeitores não parecem ter obtido acesso às informações.

Configuração incorreta de Power Apps

Como uma ferramenta que ajuda as empresas criarem aplicativos e portais da Web sem a necessidade de grandes investimentos em desenvolvimento, o Power Apps da Microsoft usa o princípio de low-code (ou seja, não requer a escrita de códigos complexos). Avaliações de usuários exageram a capacidade de transformar qualquer ideia em realidade sem ter experiência em TI e programação.

Essa simplicidade é a raiz do problema. Usando Power Apps, pessoas que não só careciam de experiência em TI, mas também ignoravam a segurança da informação, criaram ferramentas que – surpresa! – não eram seguras. Os pesquisadores encontraram 47 empresas e agências governamentais que usaram Power Apps para criar ferramentas que coletavam dados pessoais, mas não os mantinham protegidos.

Para resumir uma explicação longa e bastante técnica, o Power Apps permite aos usuários criar ferramentas para compartilhar e coletar dados. Em ambos os casos, os dados são armazenados em tabelas, e o criador do aplicativo pode habilitar permissões de acesso a eles. Por padrão, foram desabilitadas. Por um lado, isso permite que os criadores habilitem o compartilhamento facilmente. Por outro lado, essencialmente tornou as tabelas públicas. Por isso, as informações coletadas permaneceram disponíveis fora das empresas.

Como proteger os dados da sua empresa e seus clientes contra vazamentos

Depois que os pesquisadores relataram o vazamento, a Microsoft alterou as configurações padrão da plataforma. Agora, quando alguém cria um novo projeto que coleta dados pessoais, ele armazena todas as informações coletadas de forma que estranhos não consigam acessá-las. No entanto, aplicativos e serviços da Web criados antes da atualização da Microsoft ainda podem estar vulneráveis. Se sua empresa usa o Microsoft Power Apps, você deve verificar todas as opções de configuração cuidadosamente para evitar esse tipo de vazamento, especialmente se seus aplicativos coletam e armazenam informações de identificação pessoal.

No entanto, o problema é muito mais amplo. O Power Apps está longe de ser a única plataforma low-code que as pessoas sem experiência em TI usam para criar serviços, aplicativos e sites. Essas ferramentas, que em muitos casos as empresas usam apenas para tarefas internas, podem passar totalmente despercebidas pelos departamentos de segurança. Enquanto isso, eles podem conter vulnerabilidades de código-fonte, erros que ocorrem durante a integração com outros processos de negócios ou, como neste caso, configurações incorretas.

Portanto, recomendamos que as empresas que usam plataformas de baixo código façam o seguinte: Verifique cuidadosamente as configurações de segurança e privacidade de aplicativos publicados e ainda não publicados;
● Educar os departamentos de segurança da informação sobre o uso de tais plataformas em processos de negócios;
● Contratar especialistas externos (ou ter especialistas internos) para avaliação de segurança.

Dicas