Uma vulnerabilidade crítica foi identificada no serviço Microsoft Power BI, expondo dados sensíveis de milhares de organizações globalmente. A falha permite que invasores acessem informações não visíveis nos relatórios, mas presentes no modelo de dados subjacente. Isso pode resultar na exposição de dados confidenciais de funcionários, clientes, negócios e governos. Após os pesquisadores reportarem suas descobertas ao Microsoft Security Response Center, a empresa confirmou o problema, embora tenha categorizado inicialmente como uma característica do sistema. A vulnerabilidade facilita a extração de dados detalhados, atributos adicionais e registros filtrados que não são visíveis nos relatórios do Power BI.

A exploração dessa vulnerabilidade afeta tanto relatórios compartilhados internamente quanto aqueles publicados na web. Durante a execução de um relatório do Power BI, uma chamada de API é utilizada para extrair os dados que serão exibidos. Manipulando essa chamada, os atacantes podem acessar dados ocultos. A resposta da API fornece uma representação JSON dos dados solicitados, permitindo aos invasores acessar colunas e tabelas marcadas como “ocultas”. Em resposta a esse problema, os pesquisadores desenvolveram o “Power BI Analyzer”, uma ferramenta destinada a ajudar as organizações a avaliar sua exposição à vulnerabilidade.

Os pesquisadores descobriram que muitos relatórios publicados por organizações, incluindo dados corporativos, financeiros, de saúde e governamentais, estão acessíveis na web. Simples buscas na Internet revelaram dezenas de milhares desses relatórios publicamente disponíveis. Portanto, as organizações que utilizam o Power BI foram aconselhadas a revisar seus relatórios publicados e implementar as correções necessárias para proteger seus dados sensíveis contra explorações maliciosas.