{"id":18038,"date":"2021-09-07T15:40:16","date_gmt":"2021-09-07T18:40:16","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=18038"},"modified":"2021-09-08T18:18:48","modified_gmt":"2021-09-08T21:18:48","slug":"power-apps-exposure","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/power-apps-exposure\/18038\/","title":{"rendered":"Apps criados com Power Apps podem vazar dados pessoais"},"content":{"rendered":"<p>Como as informa\u00e7\u00f5es coletadas pelas empresas caem nas m\u00e3os erradas? \u00c0s vezes, os insiders vendem e, \u00e0s vezes, hackers direcionados geram o vazamento, mas, na maioria das vezes, informa\u00e7\u00f5es de identifica\u00e7\u00e3o pessoal vazam por meio de servi\u00e7os ou programas configurados incorretamente. Somando-se a montanhas de evid\u00eancias disso, os pesquisadores do UpGuard descobriram que informa\u00e7\u00f5es de identifica\u00e7\u00e3o pessoal de 38 milh\u00f5es de pessoas <a href=\"https:\/\/www.theverge.com\/2021\/8\/24\/22639106\/microsoft-power-apps-default-permissions-settings-user-records-exposed-38-million-upgard\" target=\"_blank\" rel=\"noopener nofollow\">foram expostas<\/a>. A origem do vazamento s\u00e3o alguns aplicativos da Web mal configurados, criados com a plataforma Microsoft Power Apps. Felizmente, os malfeitores n\u00e3o parecem ter obtido acesso \u00e0s informa\u00e7\u00f5es.<\/p>\n<h2>Configura\u00e7\u00e3o incorreta de Power Apps<\/h2>\n<p>Como uma ferramenta que ajuda as empresas criarem aplicativos e portais da Web sem a necessidade de grandes investimentos em desenvolvimento, o Power Apps da Microsoft usa o princ\u00edpio de low-code (ou seja, n\u00e3o requer a escrita de c\u00f3digos complexos). Avalia\u00e7\u00f5es de usu\u00e1rios exageram a capacidade de transformar qualquer ideia em realidade sem ter experi\u00eancia em TI e programa\u00e7\u00e3o.<\/p>\n<p>Essa simplicidade \u00e9 a raiz do problema. Usando Power Apps, pessoas que n\u00e3o s\u00f3 careciam de experi\u00eancia em TI, mas tamb\u00e9m ignoravam a seguran\u00e7a da informa\u00e7\u00e3o, criaram ferramentas que \u2013 surpresa! \u2013 n\u00e3o eram seguras. Os pesquisadores encontraram 47 empresas e ag\u00eancias governamentais que usaram Power Apps para criar ferramentas que coletavam dados pessoais, mas n\u00e3o os mantinham protegidos.<\/p>\n<p>Para resumir uma explica\u00e7\u00e3o longa e bastante t\u00e9cnica, o Power Apps permite aos usu\u00e1rios criar ferramentas para compartilhar e coletar dados. Em ambos os casos, os dados s\u00e3o armazenados em tabelas, e o criador do aplicativo pode habilitar permiss\u00f5es de acesso a eles. Por padr\u00e3o, foram desabilitadas. Por um lado, isso permite que os criadores habilitem o compartilhamento facilmente. Por outro lado, essencialmente tornou as tabelas p\u00fablicas. Por isso, as informa\u00e7\u00f5es coletadas permaneceram dispon\u00edveis fora das empresas.<\/p>\n<h2>Como proteger os dados da sua empresa e seus clientes contra vazamentos<\/h2>\n<p>Depois que os pesquisadores relataram o vazamento, a Microsoft alterou as configura\u00e7\u00f5es padr\u00e3o da plataforma. Agora, quando algu\u00e9m cria um novo projeto que coleta dados pessoais, ele armazena todas as informa\u00e7\u00f5es coletadas de forma que estranhos n\u00e3o consigam acess\u00e1-las. No entanto, aplicativos e servi\u00e7os da Web criados antes da atualiza\u00e7\u00e3o da Microsoft ainda podem estar vulner\u00e1veis. Se sua empresa usa o Microsoft Power Apps, voc\u00ea deve verificar todas as op\u00e7\u00f5es de configura\u00e7\u00e3o cuidadosamente para evitar esse tipo de vazamento, especialmente se seus aplicativos coletam e armazenam informa\u00e7\u00f5es de identifica\u00e7\u00e3o pessoal.<\/p>\n<p>No entanto, o problema \u00e9 muito mais amplo. O Power Apps est\u00e1 longe de ser a \u00fanica plataforma low-code que as pessoas sem experi\u00eancia em TI usam para criar servi\u00e7os, aplicativos e sites. Essas ferramentas, que em muitos casos as empresas usam apenas para tarefas internas, podem passar totalmente despercebidas pelos departamentos de seguran\u00e7a. Enquanto isso, eles podem conter vulnerabilidades de c\u00f3digo-fonte, erros que ocorrem durante a integra\u00e7\u00e3o com outros processos de neg\u00f3cios ou, como neste caso, configura\u00e7\u00f5es incorretas.<\/p>\n<p>Portanto, recomendamos que as empresas que usam plataformas de baixo c\u00f3digo fa\u00e7am o seguinte: Verifique cuidadosamente as configura\u00e7\u00f5es de seguran\u00e7a e privacidade de aplicativos publicados e ainda n\u00e3o publicados;<br>\n\u25cf Educar os departamentos de seguran\u00e7a da informa\u00e7\u00e3o sobre o uso de tais plataformas em processos de neg\u00f3cios;<br>\n\u25cf Contratar <a href=\"https:\/\/www.kaspersky.com.br\/enterprise-security\/cybersecurity-services?icid=br_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">especialistas externos<\/a>\u00a0(ou ter especialistas internos) para avalia\u00e7\u00e3o de seguran\u00e7a.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-gartner\">\n","protected":false},"excerpt":{"rendered":"<p>Aplicativos mal configurados desenvolvidos com o Microsoft Power Apps deixam milh\u00f5es de entradas de informa\u00e7\u00f5es de identifica\u00e7\u00e3o pessoal expostas.<\/p>\n","protected":false},"author":2581,"featured_media":18039,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,1655],"tags":[1185,352,22,2765,1703],"class_list":{"0":"post-18038","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-business","10":"tag-configuracoes","11":"tag-microsoft","12":"tag-servicos-da-web","13":"tag-vazamentos"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/power-apps-exposure\/18038\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/power-apps-exposure\/23234\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/power-apps-exposure\/18721\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/power-apps-exposure\/25286\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/power-apps-exposure\/23356\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/power-apps-exposure\/22781\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/power-apps-exposure\/25926\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/power-apps-exposure\/25417\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/power-apps-exposure\/31406\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/power-apps-exposure\/9991\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/power-apps-exposure\/41523\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/power-apps-exposure\/17547\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/power-apps-exposure\/15192\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/power-apps-exposure\/27259\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/power-apps-exposure\/31521\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/power-apps-exposure\/27471\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/power-apps-exposure\/24283\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/power-apps-exposure\/29608\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/power-apps-exposure\/29413\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/business\/","name":"Business"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/18038","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=18038"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/18038\/revisions"}],"predecessor-version":[{"id":18051,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/18038\/revisions\/18051"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/18039"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=18038"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=18038"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=18038"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}