La fuga de datos en Microsoft Power Apps expone 38 millones de registros de personas

Los registros de 38 millones de personas se han filtrado en línea, según la firma de ciberseguridad UpGuard.

UpGuard divulgó sus hallazgos en una publicación de blog revelando que las aplicaciones creadas en la plataforma Power Apps de Microsoft tenían configuraciones de permisos inadecuadas, lo que condujo a la filtración masiva.

Los tipos de datos varían según las fuentes, pero incluyen estados de vacunación contra COVID-19, números de seguro social, números de teléfono y millones de nombres completos y direcciones de correo electrónico. Desde entonces, UpGuard ha notificado a las 47 empresas y entidades gubernamentales diferentes que se vieron afectadas por la fuga.

Estas entidades incluyen el Departamento de Salud de Indiana, el sistema de escuelas públicas de la ciudad de Nueva York, American Airlines y Microsoft.

Power Apps es un servicio y una plataforma que permite a los clientes crear sus propias aplicaciones y ofrece interfaces de programación de aplicaciones (API) que permiten a estas organizaciones utilizar los datos que recopilan. Sin embargo, la información obtenida a través de estas API se hace pública de forma predeterminada y, a menos que la configuración de privacidad esté habilitada, los usuarios anónimos pueden acceder libremente a estos datos.

Microsoft ha implementado dos soluciones para solucionar el problema: permisos de mesa se han establecido por defecto, y un nueva herramienta se ha agregado para ayudar a los usuarios a autodiagnosticar sus aplicaciones para encontrar fallas de seguridad.

La firma todavía recomienda que Microsoft implemente "cambios de código" en la plataforma para garantizar que no vuelva a ocurrir una filtración de datos.

UpGuard publicó sus hallazgos con la esperanza de que los líderes de la industria tecnológica aprendan de esta filtración masiva y ayuden a mitigar futuros incidentes.