Pesquisadores de segurança cibernética identificaram duas falhas críticas no Azure Health Bot Service da Microsoft, que, se exploradas, poderiam permitir que atores mal-intencionados realizassem movimentos laterais dentro de ambientes de clientes e acessassem dados sensíveis de pacientes. Essas falhas, que já foram corrigidas pela Microsoft, poderiam ter permitido o acesso a recursos entre locatários dentro do serviço, de acordo com um novo relatório da Tenable. O Azure AI Health Bot Service é uma plataforma em nuvem que permite que desenvolvedores em organizações de saúde criem e implementem assistentes virtuais de saúde baseados em IA para gerenciar cargas de trabalho administrativas e interagir com pacientes.

Isso inclui bots criados por provedores de seguros para permitir que clientes verifiquem o status de reivindicações e façam perguntas sobre benefícios e serviços, bem como bots gerenciados por entidades de saúde para ajudar pacientes a encontrar cuidados apropriados ou médicos próximos. A pesquisa da Tenable se concentra especificamente em um aspecto do Azure AI Health Bot Service chamado Data Connections, que oferece um mecanismo para integrar dados de fontes externas, sejam de terceiros ou dos próprios endpoints de API dos provedores de serviço.

A descoberta dessas vulnerabilidades levanta preocupações sobre como chatbots podem ser explorados para revelar informações sensíveis. Em particular, as vulnerabilidades envolviam uma falha na arquitetura subjacente do serviço de chatbot, destacando a importância da segurança tradicional de aplicativos web e nuvem na era dos chatbots baseados em IA.