Los datos personales de millones de personas de varias partes del mundo quedaron expuestos al público debido a una débil configuración de seguridad de Microsoft Power Apps. Se trata de una plataforma utilizada para crear aplicaciones personalizadas en la nube, en pocas horas y sin conocimientos de programación.
Según la compañía de ciberseguridad UpGuard, entre los afectados se encuentran varias de organizaciones públicas y privadas que utilizaban la plataforma Microsoft Power Apps para diversos fines. En el caso de Estados Unidos, por ejemplo, algunas instituciones lo utilizaron para otorgar las citas de vacunación contra la COVID-19.
Esto dio como resultado que datos confidenciales como números de seguro social, nombres, teléfonos y direcciones de correo electrónico de estadounidenses fueran expuestos en la red. Pero el problema también alcanzó la órbita privada, afectando a compañías como American Airlines y la propia Microsoft.
Desde UpGuard señalaron a Hipertextual que entre los 38 millones de registros también se encuentran los de clientes de compañías en Europa, América Latina, Oceanía, Asia Oriental y Asia del Sur. Sin embargo, en estos casos quedó expuesto solo "contenido de contacto del tipo CRM [Gestión de Relaciones con el Cliente]". Tampoco hubo entidades gubernamentales afectadas fuera de Estados Unidos.
¿Qué causó el problema de Microsoft Power Apps?
Microsoft Power Apps tiene como objetivo facilitar a los clientes la creación de sus propias aplicaciones web y móviles. En ese sentido, ofrece interfaz de programación fácil para que los clientes puedan utilizar los datos recopilados de acuerdo a sus necesidades. Por ejemplo, gestionar una listo de turnos.
El problema surgió con la configuración por defecto de los datos almacenados. Si estos se configuraban en modo tablas, estaban protegidos. No obstante, en modo lista (que era el ajuste predeterminado) quedaban sin protección de privacidad. Por consecuencia, usuarios no autorizados podrían haber accedido a ellos.
UpGuard comunicó inmediatamente el problema a Microsoft. Tras eso, los de Redmond llegaron a la conclusión que no se trataba de una falla de seguridad, sino de una función de la aplicación. No obstante, modificaron la configuración por defecto para evitar futuros problemas de privacidad.
Hipertextual también se comunicó con Microsoft y ofrecieron la siguiente declaración. “Nuestros productos brindan a los clientes características de flexibilidad y privacidad para diseñar soluciones escalables para una amplia variedad de necesidades. Nos tomamos muy en serio la seguridad y la privacidad, y alentamos a nuestros clientes a que utilicen las mejores prácticas al configurar los productos de la manera que mejor se adapten a sus necesidades de privacidad".