Error de Microsoft expuso abiertamente datos personales de 38 millones de usuarios
3 minutos de lectura
Más de 40 organizaciones de gran renombre habrían hecho públicos datos como cuentas de seguridad social y direcciones de correo electrónico
Información proveniente de 47 organizaciones conteniendo datos personales bastante importantes estuvo expuesta públicamente en internet debido a una mala configuración en un programa de Microsoft.
El servicio Power Apps es una de las herramientas más útiles para la creación de aplicaciones por una gran diversidad de clientes que abarcan desde proyectos personales hasta grandes empresas de amplia envergadura. Por esto mismo es sorprendente que un error en la forma en que estaba configurado el programa habría puesto en peligro la información de una gran cantidad de individuos que estaban usando este servicio.
El error en la configuración de Power Apps fue descubierto por la compañía de ciberseguridad UpGuard, investigadores de la misma encontraron que las interfaces de programación de aplicaciones (APIs por sus siglas en inglés) usadas por el servicio para recopilar información habrían estado dejando los datos recogidos como de acceso público por defecto. La única forma de que los archivos con la información sensible fuesen privados era mediante una modificación manual en los ajustes del servicio.
A diferencia de lo que podría suceder en un ataque cibernético, para mantener segura tal información recopilada solo bastaba con cambiar la configuración de la herramienta de modo que los datos quedaran privados por defecto, pues con tales ajustes básicamente se estaba regalando la información para cualquiera que supiera cómo acceder a las APIs de cualquiera de las aplicaciones y páginas creadas mediante Power Apps.
Según explicó la compañía, enviaron en el mes de junio un reporte informando la brecha de seguridad que se estaría originando por tener la configuración mal hecha a lo que Microsoft respondió que si bien era cierto que el error se podía reproducir de la forma en que se expuso en el reporte, todo esto hacía parte de la configuración establecida y que funcionaba como lo tenían planeado pues “determinaron que tal comportamiento era correcto por diseño”.
Algunas de las empresas que han estado usando las herramientas de Power Apps para desarrollar software propio y, por lo tanto, integrando las APIs con los errores ya mencionados serían de gran renombre como American Airlines, Ford y hasta instituciones educativas ubicadas en Nueva York, según una lista de 47 organizaciones recopilada por UpGuard.
Entre los datos que se encontraron abiertos al público se encontraba información sensible tal como información personal utilizada para el rastreo de contactos COVID-19, citas de vacunación COVID-19, números de seguro social para solicitantes de empleo, identificaciones de empleados y millones de nombres y direcciones de correo electrónico. Alrededor de 38 millones de individuos habrían tenido expuestos todos estos datos debido a la falla en la configuración.
En cuanto se supo esto, UpGuard decidió contactar a cada una de las empresas que estarían siendo afectadas por el error informándoles del peligro al que se estaban exponiendo e incitando a realizar los cambios para hacer privada la información. A mediados de julio, nuevamente se hizo un reporte a Microsoft ante el cual la compañía decidió tomar una posición más activa frente al problema.
No sería sino hasta este mes de agosto que la empresa responsable de Windows aclaró que de ahora en adelante las APIs usadas por Power Apps y sus productos resultantes estarán configuradas para hacer privada la información por defecto. Además, añadió una herramienta integrada para que las compañías puedan revisar cómo tienen preparada su propia configuración.
En cuanto a la información que estuvo en riesgo no se han reportado casos de que se haya usado o que haya sido objetivo de ataques informáticos, por lo que aparentemente esta brecha en la seguridad pudo pasar desapercibida en el tiempo que estuvo presente.
Fuente: Infobae
