Uma falha de segurança no Microsoft Power BI permite que usuários não autorizados acessem dados sensíveis que estão por trás dos relatórios, afetando um grande número de organizações e possibilitando o acesso a informações confidenciais de funcionários e clientes.
Ao explorar essa vulnerabilidade, os atacantes podem extrair informações que vão além do que é visível nos relatórios, incluindo atributos adicionais dos dados, registros detalhados e informações por trás dos dados agregados ou anonimizados.
A vulnerabilidade foi identificada pela Nokod Security e reportada à Microsoft, que a considera uma funcionalidade do sistema, não uma falha de segurança. Nos modelos semânticos do Power BI, todos os dados subjacentes são expostos, incluindo tabelas ocultas, colunas e registros detalhados, mesmo quando apenas dados agregados ou um subset dos dados são visualizados no relatório.
Isso permite acesso não autorizado a informações sensíveis para qualquer usuário que tenha acesso ao relatório, independentemente das permissões de compartilhamento ou dos filtros aplicados na visualização do relatório, tanto para relatórios internos quanto compartilhados publicamente.
Riscos de segurança em relatórios compartilhados
De acordo com a Nokod Security, a vulnerabilidade é especialmente preocupante para organizações que compartilham relatórios contendo informações confidenciais, como dados financeiros ou registros de saúde.
A identificação de diversos relatórios que poderiam ser utilizados contra pessoas de diferentes setores, como universidades e websites governamentais, evidenciou que o modelo de dados subjacente pode ser acessado por meio de chamadas de API, expondo dados privados como informações pessoalmente identificáveis (PII) e informações de saúde protegidas (PHI).
Fonte: Microsoft Power BI Vulnerability Let Attackers Access Organizations Sensitive Data (gbhackers.com)
