Bug Asana no recurso de IA pode ter exposto dados a outros usuários

Um bug em um dos novos do Asana Ai Os recursos tornaram as informações do usuário acessíveis a outros usuários por várias semanas.

A empresa disse que o problema foi resolvido e não foi o resultado de um hack malicioso. Em vez disso, parecia ser uma falha lógica em seu MCP (Modelo Protocolo de contexto) servidor que foi lançado em 1º de maio, de acordo com a empresa de segurança cibernética Upguard (via Computador de explosão).

O MCP é uma estrutura de código aberto que permite que os assistentes de IA interajam com sites e aplicativos. A introdução do servidor MCP da Asana permitiu que as empresas integrassem recursos de IA, como resumo e pesquisa de idiomas naturais do LLMS.

O aumento de ferramentas generativas de IA e novos padrões que permitem a interoperabilidade para o LLMS criam novos problemas de privacidade e aumentam o risco de segurança cibernética. Os servidores MCP são um novo alvo brilhante para hackers, e também há risco de ataques de injeção imediata, roubo de token e um aumento geral nos vazamentos de dados, já que o MCPS solicita ampla permissão para funcionar sem problemas, de acordo com para uma postagem no blog da empresa de segurança cibernética Pillar.

De acordo com o UpGuard, o bug “parece ter feito parte dessa versão inicial” e foi descoberta pelo Asana em 4 de junho. Mas, durante esse período, os usuários da ASANA que trabalham com o servidor MCP conseguiram acessar informações de outras contas “projetos, equipes, tarefas, tarefas e outros objetos da ASANA”, de acordo com um email enviado aos clientes impactados.

Em comunicado ao BleepingComputer, Asana disse que o bug impactou cerca de 1.000 contas. A Asana possui mais de 130.000 empresas usando sua plataforma de gerenciamento de projetos, incluindo algumas grandes empresas como Uber, Spotify e Airbnb. (Divulgação: a equipe editorial da Mashable também usa asana.)

Asana levou o servidor offline e informou os clientes usando o servidor MCP em 16 de junho sobre o bug. “Assim que a vulnerabilidade foi descoberta, nossas equipes imediatamente derrubaram o servidor MCP e resolveram o problema em nosso código”, disse asana em seu comunicado ao BleepingComputer. Enquanto isso, a empresa enviou um formulário de contato aos clientes potencialmente impactou para compilar um relatório completo do qual as empresas podem ter tido seus dados expostos.

Ainda não está claro se houve alguma violação de dados importantes, mas a Asana aconselhou as empresas a revisar seus logs para o acesso ao MCP e qualquer informação gerada por suas ferramentas de IA e denunciá -las ao ASANA se encontrarem dados que não pertencem à sua empresa.

ATUALIZAÇÃO: 18 de junho, 2025, 13:50 EDT Asana confirmou em uma atualização de status que o servidor afetado estava novamente on -line em 17 de junho.