Vulnerabilidade no Microsoft Power BI expõe dados sensíveis na web
Pesquisadores identificaram uma grave vulnerabilidade no Microsoft Power BI, que expõe dados sensíveis de milhares de organizações globalmente. Essa falha permite que atacantes acessem informações ocultas nos relatórios, mas que fazem parte do modelo de dados subjacente. Com isso, dados confidenciais de funcionários, clientes, negócios e governos podem ser comprometidos.
Detalhes da Falha
Os pesquisadores relataram a vulnerabilidade ao Microsoft Security Response Center, que confirmou a questão, mas a considerou uma característica do sistema. A falha permite a extração de dados detalhados, atributos adicionais e registros filtrados não exibidos nos relatórios do Power BI. Essa vulnerabilidade afeta tanto os relatórios compartilhados internamente quanto aqueles publicados na web.
Funcionamento da Exploração
A execução de um relatório do Power BI envolve uma chamada de API que extrai os dados a serem exibidos. Os atacantes podem manipular essa chamada para acessar dados ocultos. A resposta da API inclui uma representação JSON dos dados solicitados, permitindo que os invasores acessem colunas e tabelas marcadas como “ocultas”.
Ferramenta de Análise
Os pesquisadores desenvolveram a ferramenta “Power BI Analyzer” para ajudar as organizações a avaliar sua exposição à vulnerabilidade. Eles descobriram que muitos relatórios publicados, contendo dados corporativos, financeiros, de saúde e governamentais, estão expostos na web. Simples buscas na Internet revelaram dezenas de milhares de relatórios publicamente acessíveis.
Recomendações para Organizações
As organizações que utilizam o Power BI são instadas a revisar seus relatórios publicados e aplicar as correções necessárias para proteger seus dados. É crucial que as empresas adotem medidas proativas para evitar a exposição de informações sensíveis.
Fonte: BoletimSec
Saiba mais sobre o Seguro Cyber:
