Quedan expuestos 38 millones de datos personales a través de una plataforma de Microsoft

Algunos datos como nombres, teléfonos, correos y números de seguridad social fueron expuestos en la red.
La configuración de seguridad afecto a varias empresas | Fuente: Microsoft

Datos personales de millones de personas quedaron expuestos de forma pública por error, debido a una débil configuración de seguridad a través de Microsoft Power Apps, plataforma utilizada para la creación de aplicaciones personalizadas en la nube sin conocimientos de programación.

La compañía de ciberseguridad UpGuard señaló que entre los usuarios de Microsoft afectados están varias organizaciones públicas y privadas que utilizaban la plataforma con diversos fines, como el caso de algunas instituciones en Estados Unidos, que lo ocupan para otorgar citas de vacunación en contra del Covid-19.

Datos como números de seguridad social, nombres, teléfonos y direcciones de correo electrónico, fueron expuestos en la red, pero no solo fue información de usuarios, sino también de empresas como American Airlines y de la propia Microsoft. De entre los 38 millones de registros incluso se encuentran clientes de compañías ubicadas en Europa, América Latina, Oceanía Asia Oriental y Asia del Sur.

Microsoft Power Apps era utilizada para la creación de aplicaciones personalizadas | Fuente: Microsoft

Problemas de protección a la privacidad

El problema se debió por una configuración por defectos de los datos que almacena Microsoft Power Apps, ya que son configurados a modo de lista y según el ajuste predeterminado, se quedaron sin protección de la privacidad de sus usuarios, por lo que aquellos no autorizados pudieron acceder a ellos. Si los datos hubieran estado en modo tablas, contaban con más protección, así lo indicó UpGuard.

La vulnerabilidad en la interfaz de programación de software, llevó a que más de mil aplicaciones web expusieran los registros de sus usuarios, dado que las APIs ya estaban predeterminadas a que los datos fueran accesibles al público, pero eran las organizaciones quienes tenían que habilitar de forma manual la configuración de la privacidad.

Microsoft Power Apps, además de ser una herramienta tecnológica, se encargaba de administrar las bases de datos para el desarrollo de nuevas funciones y ofrecer bases de programación al proporcionar interfaces ya listas para ser usadas, sin embargo, al activarlas, los contratistas no se dieron cuenta del acceso público a la información.

Ante ello, se le comunicó de forma inmediata a Microsoft, pero lo de Redmond concluyeron que no era una falla en sistema de seguridad, sino que se trataba de una función dentro de la aplicación, sin embargo, modificaron la configuración predeterminada, para no tener problemas en un fututo con la privacidad de sus usuarios.

***

No te pierdas el mejor contenido de Código Espagueti a través de nuestro canal de YouTube.

ANUNCIO