By Design: How Default Permissions on Microsoft Power Apps Exposed Millions

The UpGuard Research team can now disclose multiple data leaks resulting from Microsoft Power Apps portals configured to allow public access – a new vector of data exposure. The types of data varied between portals, including personal information used for COVID-19 contact tracing, COVID-19 vaccination appointments, social security numbers for job applicants, employee IDs, and millions of names and email addresses. UpGuard notified 47 entities of exposures involving personal information, including governmental bodies like Indiana, Maryland, and New York City, and private companies like American Airlines, J.B. Hunt, and Microsoft, for a total of 38 million records across all portals. This research presents an example of a larger theme, which is how to manage third-party risks (and exposures) posed by platforms that don’t slot neatly into vulnerability disclosure programs as we know them today, but still present as security issues.

Embratel lança solução que encontra brechas na segurança de dados

A Embratel lançou a solução Gestão de Vulnerabilidade para gerenciamento de suscetibilidades que colocam em risco os dados e o ambiente digital das empresas. A oferta visa evitar vazamentos de informações e acesso indevido a dados confidenciais armazenados nos dispositivos da infraestrutura.

“A Gestão de Vulnerabilidade Embratel ajuda a encontrar brechas na segurança e fornece informações para que o cliente possa trabalhar na mitigação”, afirmou Mário Rachid, Diretor-Executivo de Soluções Digitais da Embratel. A solução atende a empresas de grande a pequeno porte.

Exclusivo: Falha de segurança na FGV expõe dados de candidatos, ex-alunos e funcionários

Uma falha de segurança nos sistemas da Fundação Getúlio Vargas (FGV) deixa dados de candidatos a cursos disponíveis a qualquer um para acesso pelo navegador. Ex-alunos e funcionários também estão expostos em um banco de dados desprotegido. A falha foi descoberta por um leitor identificado como Belgra e compartilhada com o Tecnoblog.

Continue lendo

Comissão aprova projeto que dobra multa por reincidência nos casos de vazamento de dados pessoais

Fonte: Agência Câmara de Notícias


A Comissão de Ciência e Tecnologia, Comunicação e Informática da Câmara dos Deputados aprovou proposta que dobra, na eventual reincidência, a multa aplicada às empresas em caso de vazamento de dados pessoais.

Atualmente, a Lei Geral de Proteção de Dados Pessoais determina que a multa a uma empresa será de até 2% do faturamento no Brasil no último exercício, excluídos os tributos, até o limite de R$ 50 milhões por infração.

O texto aprovado é um substitutivo do relator, deputado Luis Miranda (DEM-DF), ao Projeto de Lei 3420/19, do deputado Heitor Freire (PSL-CE), que limita o valor da multa ao excluir da lei a expressão “por infração”.

“A LGPD, embora essencial, trouxe falhas que demonstram, por vezes, uma excessiva vontade de punir a atividade empresarial”, disse Heitor Freire. “Não deixa claro o que será ‘infração’, e existe o risco de se entender que, para cada dado individual em desconformidade, aplica-se a multa”, explicou o deputado.

Salvaguardas
Na visão do relator, embora meritório o texto original, a LGPD traz salvaguardas para que essas distorções não se concretizem. “A Autoridade Nacional de Dados Pessoais (ANPD) definirá metodologia para cálculo das multas em regulamento próprio, após consulta pública”, disse Luis Miranda, citando o órgão regulador.

“Não obstante, há necessidade de detalhar as sanções aplicáveis”, continuou o relator, ao propor multa em dobro na reincidência. “A intenção é impedir que uma empresa se valha do poder econômico para atuar ao arrepio da lei, por considerar que o prejuízo com multas é inferior ao benefício da prática ilícita.”

Tramitação
O projeto tramita em caráter conclusivo e ainda será analisado pelas comissões de Finanças e Tributação; e de Constituição e Justiça e de Cidadania.

Fonte: Agência

Reportagem – Ralph Machado
Edição – Roberto Seabra

Vazam 13 mil documentos e dados de 227 milhões de brasileiros

[TecMundo]

Fotos de 13 mil documentos como RGs, CPFs e CNHs, além de dados de 227 milhões de brasileiros, foram colocados à venda em um fórum por dois cibercriminosos. De acordo com a empresa de cibersegurança Syhunt, em relatório enviado ao TecMundo, apenas a amostra possui dados de mais de 2,5 milhões de pessoas.

Apurações de megavazamentos tem apoio de outros órgãos, afirma Ortunho

O presidente da Autoridade Nacional de Proteção de Dados (ANPD), Waldemar Ortunho, disse que a entidade tem apenas o poder de apuração, e não de polícia, quando o assunto envolve vazamento de dados. Por isso, as investigações sobre os recentes megavazamentos conta com ajuda de outros órgãos. A afirmação foi feita no Seminário de Políticas de (Tele)Comunicações, que aconteceu nesta terça-feira, 23.

“Temos a missão de apurar, mas investigação e o poder de polícia, não temos. Acionamos os órgãos, como Polícia Federal e Ministério Público Federal para ajudar no processo investigativo”, afirmou Ortunho. A entidade está apurando os recentes megavazamentos de dados que aconteceram nas últimas semanas. Um envolveu o vazamento de dados pessoais, como CPF, de mais de 200 milhões de brasileiros. O mais recente teve a divulgação de dados telefônicos de mais de 100 milhões de pessoas.

Nova falha da Saúde expõe dados de mais de 200 milhões de brasileiros

Uma nova falha de segurança no sistema de notificações de covid-19 do Ministério da Saúde deixou expostos na internet, por pelo menos seis meses, dados pessoais de mais de 200 milhões de brasileiros.

Não foram apenas pacientes com diagnóstico de Covid-19 que tiveram sua privacidade violada, como ocorreu em outro caso de exposição denunciado pelo Estadão na semana passada. Desta vez, ficaram abertas para consulta as informações pessoais de qualquer brasileiro cadastrado no SUS ou beneficiário de um plano de saúde.

Covid-19: vazamento na Saúde expõe dados de 16 milhões de pessoas

Pelo menos 16 milhões de brasileiros que tiveram diagnóstico suspeito ou confirmado de covid-19 ficaram com seus dados pessoais e médicos expostos na internet durante quase um mês por causa de um vazamento de senhas de sistemas do Ministério da Saúde, revela nesta quinta-feira (26) o jornal O Estado de S. Paulo.

Entre as pessoas com informações expostas estão o presidente Jair Bolsonaro, os ministros Eduardo Pazuello (Saúde), Onyx Lorenzoni (Cidadania), Damares Alves (Mulher, Família e Direitos Humanos), o governador João Doria (PSDB-SP) e os presidentes da Câmara, Rodrigo Maia (DEM-RJ), e do Senado, Davi Alcolumbre (DEM-AP).

Vazamento de dados pessoais de 300 mil clientes da Enel

No dia nove de novembro a concessionária de energia, Enel Distribuição São Paulo, divulgou em comunicado oficial o vazamento de dados de 300 mil clientes devido à um ataque hacker. De acordo com a empresa, as informações pessoais vazadas incluem nomes completos, CPFs, números de contas bancárias, endereços, números de telefones, consumo de eletricidade, entre outros. 

A Enel informou também que já estaria realizando um processo de verificação interna, além de contatar autoridades e as pessoas atingidas. O vazamento teria afetados apenas os consumidores da área de Osasco, em São Paulo. 

Prudential do Brasil revela ciberataque e roubo de dados

Seguradora não confirmou a quantidade de clientes que foram afetados, mas que ainda está em processo de notificação

Um ano em que a Lei Geral de Proteção de Dados foi muito discutida devido a pandemia de covid-19, e o home office as pressas e forçado, a seguradora Prudential do Brasil anunciou que teve seus dados roubados por um hacker.