American Airlines, Ford, JP Hunt e comunidades como Maryland Health Authority e New York City Public Transportation estão entre os 47 grupos envolvidos. (Foto: Getty Images)
Cerca de 38 milhões de dados pessoais e informações, alguns de plataformas para rastrear casos de contatos de coronavírus, tornaram-se vulneráveis no início deste ano devido a configurações incorretas no software da Microsoft usado por muitas empresas e organizações.
Na segunda-feira, a empresa de segurança de computadores UpGuard divulgou um relatório de uma investigação de meses que mostrou que milhões de nomes, endereços, números de identificação fiscal e outras informações confidenciais foram expostos – mas não hackeados – antes que o problema fosse resolvido.
American Airlines, Ford, JP Hunt e comunidades como Maryland Health Authority e New York City Public Transportation estão entre os 47 grupos envolvidos.
Eles têm em comum o fato de terem usado um software da Microsoft, o Power Apps, que facilita a criação de sites e aplicativos móveis para interagir com o público.
Por exemplo, se uma organização precisa configurar rapidamente um portal de agendamento de vacinas, este serviço do gigante da TI fornece a interface pública e o gerenciamento de dados.
Mas até junho de 2021, a configuração padrão do software não protegia adequadamente certos dados, explicaram os pesquisadores do UpGuard. “Graças à nossa pesquisa, a Microsoft mudou desde então os portais do Power Apps”, dizem eles.
“Nossas ferramentas permitem que soluções sejam projetadas em escala que atendam a uma variedade de necessidades. Levamos a segurança e a privacidade a sério e incentivamos nossos clientes a configurar produtos para melhor atender às suas necessidades de privacidade”, respondeu um porta-voz da Microsoft.
O grupo indicou ainda que informa sistematicamente os seus clientes na identificação de potenciais riscos de fugas, para que os possam remediar.
Mas, de acordo com o UpGuard, é melhor mudar o software com base em como os clientes o usam, em vez de “ver a falta generalizada de privacidade de dados como um erro de configuração do usuário, que mantém o software problemático e coloca o público em risco”.
Eles acrescentam que “o número de contas nas quais as informações confidenciais eram insuficientes mostra que os riscos associados a esse recurso – o potencial e o impacto de um erro de configuração – não foram considerados adequadamente.”
