By 
Um defeito em uma das novas funcionalidades de inteligência artificial da Asana resultou na exposição das informações do usuário a outros usuários por um período prolongado.
A empresa afirmou que o incidente foi solucionado e não decorreu de um ataque malicioso. Em vez disso, pareceu ser uma falha de natureza lógica em seu servidor MCP (Model Context Protocol), lançado em 1º de maio, conforme relatado pela empresa de segurança cibernética UpGuard (via BleepingComputer).
O MCP é uma estrutura de software de código aberto que possibilita a interação de assistentes de inteligência artificial com sites e aplicativos. A implementação do servidor MCP da Asana possibilitou que organizações incorporassem funcionalidades de IA, como resumo e pesquisa de linguagem natural da LLMs.
O avanço das ferramentas de inteligência artificial geradora e os novos padrões que facilitam a compatibilidade para linguagens de modelos de aprendizagem de máquina estão criando desafios adicionais de privacidade e aumentando a vulnerabilidade à cibersegurança. Os servidores MCP estão se tornando alvos atrativos para hackers, e há um aumento do risco de ataques como injeção rápida, roubo de token e vazamento de dados em geral, pois os MCPs necessitam de permissões amplas para funcionar sem problemas, conforme mencionado em um post no blog da empresa de segurança cibernética Pillar.
Segundo o UpGuard, o erro foi identificado como parte da versão inicial e foi encontrado pela Asana em 4 de junho. Durante esse período, os usuários da Asana que utilizam o servidor MCP conseguiram visualizar dados como projetos, equipes, tarefas e outros elementos da plataforma, conforme comunicado por e-mail aos clientes afetados.
Segundo o que foi informado à BleepingComputer, aproximadamente mil contas foram afetadas por uma falha na Asana. A empresa conta com mais de 130.000 empresas utilizando seu sistema de gerenciamento de projetos, incluindo gigantes como Uber, Spotify e Airbnb. (Nota: A equipe editorial da Mashable também utiliza a Asana.)
A empresa Asana desativou o servidor e notificou os clientes por meio do servidor MCP em 16 de junho sobre o bug. Em sua declaração ao BleepingComputer, a Asana afirmou que, assim que a vulnerabilidade foi identificada, suas equipes agiram rapidamente, desligando o servidor MCP e solucionando o problema no código. Além disso, a empresa disponibilizou um formulário de contato para os clientes que poderiam ter sido afetados, a fim de obter um relatório completo sobre possíveis exposições de dados de outras empresas.
Ainda não está confirmado se houve uma violação significativa de dados, no entanto, a Asana recomendou que as empresas verifiquem seus registros de acesso ao MCP e quaisquer informações provenientes de suas ferramentas de IA e informem à Asana caso identifiquem dados que não sejam de sua empresa.
Atualização: Em 18 de junho de 2025, às 13h50, horário de Brasília, a Asana informou em uma atualização que o servidor afetado foi restabelecido on-line a partir de 17 de junho.
Confidencialidade
Comments