Mais uma semana, mais uma falha de segurança atingindo, desta vez, a Microsoft e o Docs.com, seu serviço de compartilhamento de documentos na nuvem. O problema aconteceu no sistema de buscas da ferramenta, que dava acesso a praticamente todos os arquivos hospedados pelos usuários e permitia que qualquer um visualizasse as informações contidas nele.
Ao contrário do que se pode imaginar, entretanto, a falha não aconteceu por uma invasão hacker ou bug. Pelo contrário, esse era o funcionamento normal da ferramenta de pesquisas, que fazia buscas em todo o banco de dados do Docs.com enquanto os arquivos, por padrão, eram hospedados como públicos. Afinal de contas, estamos falando de um serviço de compartilhamento. O problema é que os usuários não eram avisados claramente sobre isso.
A brecha foi revelada no último final de semana por especialistas em segurança digital, e acabou gerando reclamações dos usuários direcionadas às contas da Microsoft no Twitter. Horas depois, a companhia desabilitou temporariamente a ferramenta de buscas. No momento em que esta reportagem é escrita, a funcionalidade já está funcionando novamente, e agora não dá mais acesso aos arquivos de todos os usuários.
Não se sabe ao certo, entretanto, por quanto tempo a vulnerabilidade permaneceu no ar. Os arquivos hospedados no Docs.com poderiam conter dados pessoais, contatos e até senhas que poderiam ser usados maliciosamente, e só ficaram protegidos aqueles usuários que acessaram as configurações de cada documento, deixando-os em modo privado individualmente. Ou seja, uma pequena parcela, já que a maioria, provavelmente, nem mesmo imaginava que suas informações estariam públicas e acessíveis por todos.
É curioso notar que a opção de realizar o upload de forma pública por padrão vai contra a lógica usual dos serviços de compartilhamento, incluindo alguns da própria Microsoft. No OneDrive, por exemplo, todos os arquivos são hospedados como privados até que o próprio responsável por eles decida abri-los para enviar aos contatos. A Microsoft não se pronunciou sobre o caso.
Fonte: ZDNet