🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
🚀 CloudSEK se torna a primeira empresa indiana de segurança cibernética a fazer parceria com o The Private Office
🚀 O CloudSEK aumentou Rodada da Série B1 de $19 milhões — Potencializando o futuro da cibersegurança preditiva
Voltar
Vulnerability Intelligence

Mais de 50.000 usuários do Azure AD expostos por meio de API insegura: BeVigil descobre uma falha crítica

Um endpoint de API inseguro escondido em um arquivo JavaScript deu aos atacantes as chaves do reino: acesso direto aos dados confidenciais do Microsoft Graph de milhares de funcionários, incluindo altos executivos. A plataforma BeVigil da CloudSEK descobriu como esse deslize silencioso pode levar ao roubo de identidade, ataques de phishing e ataques regulatórios. Veja como isso se desenrolou — e o que sua organização deve fazer para se manter segura.
May 30, 2025
4
min
Tabela de conteúdo
Exemplo H2
Exemplo H2

A plataforma BeVigil da CloudSEK identificou recentemente um lapso crítico de segurança em um gigante da aviação acessível ao público. A vulnerabilidade resultou de um arquivo JavaScript exposto que contém um endpoint de API não autenticado. Esse endpoint concedeu tokens de acesso ao Microsoft Graph com privilégios elevados, levando à exibição não autorizada de dados confidenciais pertencentes a mais de 50.000 usuários do Azure AD.

O que deu errado

O API Scanner da BeVigil descobriu que um pacote JavaScript com subdomínio incluído em um endpoint codificado estava sendo acessado sem autenticação. Esse endpoint emitiu um token da API do Microsoft Graph com permissões excessivas, especificamente User.Read.All e AccessReview.read.all. Essas permissões geralmente são restritas devido à capacidade de acessar perfis de usuário completos e dados essenciais de governança de identidade.

Usando esse token, um invasor pode consultar os endpoints do Microsoft Graph para recuperar informações detalhadas dos funcionários, incluindo nomes, cargos, detalhes de contato, estruturas de relatórios e até mesmo acessar as configurações de revisão. Essa exposição não apenas prejudica a privacidade do usuário, mas também abre as portas para aumento de privilégios, roubo de identidade e campanhas de phishing direcionadas, especialmente porque os dados de nível executivo também foram expostos.

Escala e severidade

O impacto é de longo alcance. Os dados associados a mais de 50.000 usuários estavam acessíveis, e o endpoint continuou a retornar registros para usuários recém-adicionados. Entre as informações expostas estavam identificadores pessoais, nomes principais de usuários, atribuições de funções de acesso e outros detalhes de governança. A exposição dessa magnitude aumenta significativamente a superfície de ataque da organização e introduz riscos de conformidade em estruturas como GDPR e CCPA.

Implicações de segurança e conformidade

  • Acesso não autorizado aos dados: Os invasores poderiam explorar a API para recuperar registros confidenciais de funcionários diretamente do Azure AD.
Instantâneo do endpoint vulnerável da API

  • Uso indevido do token: O token vazado pode conceder visibilidade irrestrita das estruturas de diretórios internos e das decisões de governança.
Instantâneo do token de autorização gerado
  • Exposição executiva: Os dados da liderança sênior estavam acessíveis, tornando-se altos de alto valor para falsificação de identidade ou engenharia social.

Abra uma captura de tela 2025-05-30 em 12.33.26 PM.png

Resumo da exposição de dados executivos

  • violações regulatórias: A exposição de informações de identificação pessoal sem as devidas salvaguardas gera sérias preocupações de conformidade. As violações de dados corroem a confiança do usuário e podem causar danos à reputação e interrupções operacionais a longo prazo.

Remediações recomendadas

BeVigil sugeriu que as seguintes ações sejam implementadas prioritariamente:

  1. Desativar o acesso público à API: restrinja o endpoint vulnerável e aplique controles rígidos de autenticação.
  2. Revogar tokens comprometidos: inválida os tokens expostos e alterna as credenciais afetadas.
  3. Imponha o menor privilégio: revisa e limita os escopos dos tokens somente quando necessário.
  4. Monitore o uso da API: implementa registros e alertas para detectar atividades anormais do Microsoft Graph.
  5. Código de front-end seguro: evite incorporar endpoints confidenciais ou lógica de token em scripts do lado do cliente.
  6. Revisar permissões e funções: audite todas as funções do Azure AD e acesse as revisões para remover permissões superprovisionadas.
  7. Implemente a Limitação de Taxas: proteja os endpoints da API com controles de taxa e detecção de anomalias.

Considerações finais

Esse incidente ressalta a importância de proteger os componentes de front-end e garantir que os serviços confidenciais de back-end nunca sejam expostos diretamente. As organizações devem monitorar proativamente sua infraestrutura digital e aplicar controles de acesso rígidos para proteger os dados do usuário e manter a conformidade regulatória. A vigilância em todas as camadas da tecnologia não é apenas a melhor prática, é essencial para proteger a confiança no mundo interconectado de hoje.

Niharika Ray
Mayank Pandey
Security Researcher

Blogs relacionados

Este é um texto dentro de um bloco div.
Vulnerability Intelligence
July 4, 2025
3
min
Vulnerabilidade do Cisco Unified Communications Manager CVSS 10: mais de mil ativos expostos à Internet
Leia mais
Este é um texto dentro de um bloco div.
Vulnerability Intelligence
May 23, 2025
5
min
Exposto e explorável: como uma falha de LFI deixou os arquivos do servidor de um gigante de viagens abertos para hackers
Leia mais
Este é um texto dentro de um bloco div.
Vulnerability Intelligence
May 5, 2025
4
min
APIs expostas, tokens vazados: como um gigante de semicondutores quase foi violado
Leia mais