Microsoft, vazamentos, vulnerabilidades, cerca de 38 milhões de dados pessoais, dados pessoais sensíveis e comerciais. Ao longo desta semana, foi divulgado que inúmeras organizações, que englobam multinacionais, agencias federais e estaduais norte-americanas, expuseram milhões de registros de dados pessoais, nos últimos meses, devido a uma configuração incorreta na solução da Microsoft conhecida como Power Apps. Esta solução é oferecida para que cidadãos dos EUA acessem detalhes dos resultados dos testes de COVID-19 que realizaram ou seus registros de vacinação. Além deste episódio, também no decorrer desta semana, a própria Microsoft alertou sobre uma vulnerabilidade na Microsoft Azure, solução destinada à execução de aplicativos e serviços, que utilizam a nuvem, com destaque para a base de dados Azure Cosmos DB.
Sobre as soluções e o que houve?
Power Apps
O Power Apps é amplamente utilizado por organizações públicas e privadas para compartilhar dados. Atualmente, ele tem sido utilizado por algumas destas organizações, com destaque para agencias de saúde pública, para disponibilizarem acesso da população aos seus resultados individuais de teste de COVID-19 ou registros de vacinação. Outras organizações adotaram a ferramenta para a manutenção de registros internos.
A empresa UpGuard, especializada em segurança cibernética, vasculhou a internet em busca de bancos de dados inseguros. E, encontrou uma vulnerabilidade no Microsoft Power Apps. Em 24 de junho, comunicou o episódio à Microsoft como uma vulnerabilidade de software em potencial. Contudo, a Microsoft, em reposta à UpGuard, informou que as configurações estavam funcionando de acordo com o previsto em seu projeto. Devido ao insucesso em sua comunicação, a UpGuard entrou em contato diretamente com algumas organizações afetadas, como a American Airlines, Agência de Saúde de Maryland, Ford Motor Co, JB Hunt, o Governo Estadual de Indiana e o Departamento de Educação de Nova Iorque. Ressalta-se que a própria Microsoft foi vítima desta configuração indevida, em seus ativos.
Em relatório emitido pela UpGuard, estima-se que cerca de 38 milhões de dados pessoais, dados pessoais sensíveis e comerciais, incluindo informações pessoais de funcionários, como por exemplo, relacionados às vacinações contra a COVID-19, nomes, números do Seguro Social, números telefônicos, datas de nascimento, informações demográficas, resultados de exames toxicológicos e o rastreamento de contatos.
Os dados em questão ficaram disponíveis por meses, na internet, para qualquer um com um pouco de conhecimento de informática e inclinação para vasculhar a internet, disse a UpGuard.
A CNN Business entrou em contato com algumas organizações afetadas e elas confirmaram que tomaram ações para que seus dados voltassem a estar protegidos. A sucessão dos episódios levou a Microsoft a alterar as configurações de segurança, do Power Apps, a fim de torná-lo mais restritivo, por padrão, ou seja, considerando o privacy by default, para alguns usuários. Estima-se que cerca de 45 organizações estavam expondo dados pessoais devido à configuração incorreta.
Microsoft Azure
A Microsoft Azure é uma plataforma de nuvem com mais de 200 produtos e serviços, através da qual é possível criar, executar e gerenciar aplicativos. Cerca de 95% das organizações que fazem parte da Fortune 500 utilizam a Microsfot Azure.
No site da solução, como destaque, é informado que a Microsfot investe cerca de USD 1 bilhão por ano, em segurança, a fim de proteger dados de clientes, de ameaças cibernéticas. Ressalta-se que na seção de Perguntas frequentes sobre a Azure, com trecho transcrito a seguir:
O Azure é seguro? Sim, a segurança e a privacidade são fundamentais para o Azure. A Microsoft tem o compromisso com os mais altos níveis de confiança, transparência, conformidade com os padrões e conformidade regulamentar; tudo isso com o conjunto de ofertas de conformidade mais abrangente em comparação com qualquer outro provedor de serviços de nuvem.
Microsoft Azure (site oficial)
Em 9 de agosto, pesquisadores da empresa de segurança israelense Wiz descobriram uma falha, quando conseguiram acessar chaves que controlam o acesso às bases de dados de inúmeras organizações, de bastante relevância no cenário mundial, como Exxon e Coca-Cola. Segundo a Wiz, o acesso estava indevidamente disponível desde meados de 2019, quando a Microsoft adicionou o recurso Jupyter Notebooks à Azure. A Wiz foi remunerada com USD 40 mil por ter descoberto e informado à Microsoft esta falha.
Devido ao fato de a Microsoft não poder alterar as chaves, foi necessário que ela enviasse e-mails aos clientes afetados, solicitando que eles criassem chaves. Segundo a companhia, não há indícios de que as empresas sofreram incidentes relacionados à privacidade e segurança da informação:
“Não temos indicação de que entidades externas além do pesquisador (Wiz) tiveram acesso às chaves”, disse a Microsoft na mensagem.”
Microsoft
“É a base de dados central da Azure, e conseguimos ter acesso a qualquer base de informações que quiséssemos. É a pior vulnerabildade na nuvem que se pode imaginar.”
Ami Luttwak, chefe de tecnologia da Wiz
Não podemos deixar de compartilhar que a empresa SolarWinds, fornecedora de software e parceira da Microsoft, foi alvo de hackers recentemente em um ataque no qual um código-fonte da Microsoft foi roubado. E houve ataques cibernéticos também ao servidor do e-mail da empresa.
A plataforma Azure foi uma das primeiras no mundo a serem certificadas na ISO/IEC 27701 privacy standard, a versão internacional da famosa norma ABNT NBR ISO/IEC 27701:2019 — Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação — Requisitos e diretrizes.
A Microsoft também foi o primeiro grande provedor de nuvem dos EUA a alcançar a conformidade com as cláusulas do Modelo da União Europeia (EU), além de estender voluntariamente os principais direitos de privacidade de dados incluídos no General Data Protection Regulation (GDPR).
A certificadora Schellman & Company LLC emitiu o certificado de conformidade na norma ISO/IEC 27701:2019 que cobre os requisitos, controles e diretrizes para a implementação de um sistema de gerenciamento de segurança da informação, e que extende a privacidade às normas ISO/IEC 27001:2013 e 27002:2013 para a criação e manutenção de um Sistema de Gestão da Privacidade da Informação (SGPI), o escopo da certificação cobre produtos como a Microsoft Azure, Dynamics e outros serviços on-line implantados no Azure Public, na nuvem Government e na Germany Cloud, incluindo seu desenvolvimento, operações e infraestruturas e sua segurança, privacidade associada.
Desafios de estar em conformidade com a LGPD
O fato de as organizações passarem por auditorias, aqui no Brasil, em relação à norma ABNT NBR ISO/IEC 27701:2019, será eficaz para estabelecer práticas de privacidade responsáveis para todo o mercado, independentemente do tamanho das organizações. Cabe destacarmos alguns tópicos, para reflexão:
- Sobre os requisitos da NBR 27701: a conciliação de vários requisitos regulamentares por meio do uso de um conjunto de controles operacionais universais permite uma implementação consistente e eficaz;
- A auditoria de conformidade é cara: auditores, tanto internos quanto externos, podem avaliar a conformidade usando um conjunto de controle universal dentro de um único ciclo de auditoria. Soma-se a isto, o fato de que tais auditorias podem evitar gastos muito maiores sejam estes com sanções aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD), ou atores com competência concorrente como SENACON, PROCON, Ministério Público e Agências Reguladoras. Além, é claro, de ações movidas por titulares lesados, ou que se sintam lesados, na justiça comum. Soma-se ao exposto o valor de mercado que pode ser perdido no caso da publicização negativa relativa a temas como privacidade e proteção de dados, como o que envolveu a Cambridge Analytica e o Facebook, este último com perdas em papéis que somaram cerca de USD 50 bilhões (EXAME, 20.03.18);
- Minha organização seguiu a lei, e é suficiente: A promessa de conformidade sem evidência é potencialmente arriscada, e a tendência é que transações comerciais que envolvam a transferência de dados pessoais sejam obrigadas a ter equivalências de controles de privacidade e proteção de tais dados, que podem ser garantidas por uma certificação de conformidade;
- Capacitações: Inúmeras são as capacitações disponíveis no mercado, e estas têm diferentes públicos-alvos. As organizações não têm recursos para investir em capacitações específicas para todos os seus colaborados. É importante que as profundidades das capacitações sejam diretamente proporcionais as atividades exercidas pelos seus colaboradores, em diferentes níveis: operacional, tático e estratégico (alta direção). Muitas organizações optam por capacitar um, em detrimento ao outro. Contudo, permanecem em risco!
Esperamos que tenha gostado dessa matéria. Se gostou, que tal compartilhá-la com alguém que possa ter interesse neste assunto? Até a próxima!
Referências Bibliográficas
CNN Business. Data leak exposes tens of millions of private records from Corporation and government agencies. Disponível em: https://edition.cnn.com/2021/08/24/tech/data-leak-microsoft-upguard/index.html. Acesso em: 27 ago. 2021.
EXAME. Facebook perde mais de USD 50 bilhões com escândalo de dados. Disponível em: https://invest.exame.com/me/facebook-perde-mais-de-us-50-bilhoes-com-escandalo-de-dados. Acesso em: 27 ago. 2021.
Microsft. Azure is now certified for the ISO/IEC 27701 privacy standard. Disponível em: https://azure.microsoft.com/pt-br/blog/azure-is-now-certified-for-the-iso-iec-27701-privacy-standard. Acesso em: 27 ago. 2021.
Microsoft. O que é o Azure? Disponível em: https://azure.microsoft.com/pt-br/overview/what-is-azure. Acesso em: 27 ago. 2021.
Target Engenharia. NBR ISO/IEC 27701 – Técnicas de segurança — Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação — Requisitos e diretrizes. Disponível em: https://www.target.com.br/produtos/normas-tecnicas/45058/nbriso-iec27701-tecnicas-de-seguranca-extensao-da-abnt-nbr-iso-iec-27001-e-abnt-nbr-iso-iec-27002-para-gestao-daprivacidade-da-informacao-requisitos-e-diretrizes. Acesso em: 27 ago. 2021.
O Globo. Microsoft alerta que serviço de nuvem ficou vulnerável a invasores. Disponível em: https://oglobo.globo.com/economia/tecnologia/microsoft-alerta-que-servico-de-nuvem-ficou-vulneravel-invasores-25173446. Disponível em: 27 ago. 2021.