Dezenas de empresas que usaram ferramentas da Microsoft para criar páginas online e registar informação estavam a expor, inadvertidamente, tabelas com milhões de dados pessoais na Internet. Em muitos casos, bastava digitar um endereço online para chegar a nomes completos, datas de nascimento, registos de salários, marcações de testes para a covid-19 e até números de segurança social. A Ford, a autoridade de transportes municipais de Nova Iorque, o departamento de saúde do Maryland, nos EUA, e a própria Microsoft estão entre as 47 entidades afectadas. 

O problema — que foi resolvido no começo de Agosto — estava nas definições de privacidade das Power Apps, um conjunto de serviços da Microsoft que permite criar aplicações personalizadas para diferentes negócios. Por exemplo, sistemas para agendar reuniões ou vacinas. 

Ao todo, havia 38 milhões de registos desprotegidos. 

A informação foi avançada esta segunda-feira pela Upguard, uma empresa de cibersegurança com sede em Sydney, na Austrália, que descobriu o defeito no final de Maio. 

Em vez do portal da Microsoft bloquear, por defeito, acessos a informação sensível, isto tinha de ser definido manualmente. Quando as empresas não o faziam, bastava saber o endereço online dos dados (por norma, um site parecido com exemplo.powerappsportals.com/_odata) para os ver na íntegra. 

“O problema é a forma como o sistema foi criado. As pessoas enganam-se e esquecem-se de coisas, é normal. A informação das empresas nunca deveria estar pública por defeito”, resume ao PÚBLICO Greg Pollock, um dos responsáveis pela área de ciber-investigação da Upguard. 

Pollock diz que o erro foi descoberto, acidentalmente, por um dos analistas da empresa que estava a tentar criar um site com as Power Apps da Microsoft. O caso levou a empresa a questionar se existiriam outros portais publicamente acessíveis por engano. Encontraram 47. O problema afectava empresas na Europa, EUA, América do Sul e Austrália, mas as empresas norte-americanas eram as que tinham mais informação sensível publicamente disponível.

Para a equipa da Upguard, o número de contas com informação exposta, por acidente, mostra que a Microsoft não considerou suficientemente o risco de ter a informação pública por defeito.

“Há motivos para as pessoas quererem ter a informação disponível, por exemplo, empresas a partilhar listas de tabelas de produtos e preços. Só que isto deve ser algo que as pessoas têm de definir. A privacidade deve estar garantida por defeito”, continua Pollock. 

O PÚBLICO tentou contactar a Microsoft para mais detalhes. “Os nossos produtos garantem a flexibilidade e privacidade aos nossos clientes de forma a que possam desenhar soluções escaláveis que respondam a uma grande variedade de necessidades”, lê-se na primeira resposta enviada ao PÚBLICO por email. Após um pedido de esclarecimentos, a Microsoft refere que “apenas um pequeno subconjunto de clientes configurou o portal tal como descrito no blogue [da Upguard]” e que a empresa trabalhou “de perto com esses clientes para garantir que estavam a utilizar as definições de privacidade compatíveis com as suas necessidades.

Para a Microsoft, o problema identificado pela Upguard não se trata de uma vulnerabilidade. 

“Têm razão. Isto não é uma vulnerabilidade técnica. É uma má decisão de design”, explica ao PÚBLICO Kelly Rethmeyer, responsável pela comunicação da Upguard. 

De acordo com a empresa de segurança, a Microsoft não tomou a iniciativa de alertar os clientes afectados, levando a Upguard a contactar as empresas com informação na Internet. No entanto, no início de Agosto, a Microsoft anunciou que os portais Power Apps iriam passar a armazenar, por defeito, os dados de API (interfaces de programação de aplicações) e outras informações de forma privada. A empresa também lançou uma ferramenta que ajuda os clientes a aceder às configurações dos portais que utilizam. 

"No final, a Microsoft mudou o sistema”, nota Pollock. “Aquilo que queremos ao divulgar a informação, é garantir que as empresas que criam produtos tecnológicos confirmam que estes não podem ser usados de forma incorrecta”, clarifica. “Uma das aprendizagens para as empresas que operam plataformas é assumirem responsabilidade pelos erros de má configuração mais cedo, em vez de deixarem que investigadores de fora os identifiquem e tenham de notificar todos os casos de má configuração”, sublinha a equipa da Upguard nas conclusões.