Pesquisadores da Tenable, empresa especializada em cibersegurança, confirmaram que o Azure Health Bot da Microsoft era vulnerável para brechas de segurança. O serviço da Azure é uma ferramenta de IA baseada em bots que ajuda organizações de saúde a implementar chat boxes e personalizar a experiência dos médicos. Contudo, a falha poderia permitir roubo de dados sensíveis de diversos pacientes.
Segundo os especialistas, a brecha aparecia na categoria de Data Connections, que se conecta com uma API para puxar dados de diversas fontes externas e alimentar o banco de dados principal. Nos testes, foi possível burlar a segurança ao enviar respostas direcionadas por meio de um controlador externo e ter acesso às informações dos pacientes.
Jimi Seebre, um dos responsáveis pela pesquisa, salientou que “as vulnerabilidades envolviam uma falha na arquitetura do serviço de chatbot, destacando a importância das aplicações Web tradicionais e da segurança na nuvem na era dos chatbots de IA”.
O chatbox da Microsoft pode aprender terminologias clínicas e auxiliar os profissionais no uso diário.Fonte: Microsoft
Falhas já foram corrigidas
O problema foi descoberto há alguns meses e diretamente reportado para a Microsoft. A companhia conseguiu identificar a causa e aplicar patches de mitigação, portanto não é preciso se preocupar atualmente. No entanto, isso acendeu um alerta vermelho nos pesquisadores.
Para os peritos da área, falhas como essa demonstram como é importante que as empresas invistam em segmentos como mecanismos para proteção em nuvem. Jimi Sebree ainda alfinetou as big techs, e comentou que “em vez de essas empresas priorizarem ser a primeira no mercado, os empresários deveriam priorizar tempo para garantir a segurança do produto e consumidor”.
Caso a vulnerabilidade tivesse sido explorada por agentes mal-intencionados, é provável que milhões de dados presentes no Azure Health Bot tivessem sido roubados e explorados por terceiros.