Vazamento de dados no Microsoft Power Apps expõe registros de 38 milhões de pessoas

Os registros de 38 milhões de pessoas vazaram online, de acordo com a empresa de segurança cibernética UpGuard.

UpGuard divulgou suas descobertas em uma postagem de blog revelando que os aplicativos criados na plataforma Power Apps da Microsoft tinham configurações de permissão inadequadas, o que levou ao vazamento massivo.

Os tipos de dados variam entre as fontes, mas incluem status de vacinação COVID-19, números do Seguro Social, números de telefone e milhões de nomes completos e endereços de e-mail. Desde então, UpGuard notificou 47 diferentes empresas e entidades governamentais que foram afetadas pelo vazamento.

Essas entidades incluem o Departamento de Saúde de Indiana, o sistema de escolas públicas da cidade de Nova York, a American Airlines e a Microsoft.

Power Apps é um serviço e plataforma que permite aos clientes fazer seus próprios aplicativos e oferece interfaces de programação de aplicativos (APIs) que permitem que essas organizações usem os dados que coletam. No entanto, as informações obtidas por meio dessas APIs são tornadas públicas por padrão e, a menos que as configurações de privacidade estejam ativadas, os usuários anônimos podem acessar esses dados livremente.

A Microsoft implementou duas correções para solucionar o problema: permissões de mesa foram tornados padrão, e um nova ferramenta foi adicionado para ajudar os usuários a diagnosticar seus aplicativos para encontrar falhas de segurança.

A empresa ainda recomenda que a Microsoft implemente "mudanças de código" na plataforma para garantir que uma violação de dados não aconteça novamente.

UpGuard postou suas descobertas na esperança de que os líderes da indústria de tecnologia aprendam com esse vazamento massivo e ajudem a mitigar futuros incidentes.