Los registros de 38 millones de personas se han filtrado en línea, según la firma de ciberseguridad UpGuard.
UpGuard reveló sus hallazgos en una publicación de blog que revela que las aplicaciones creadas en la plataforma Power Apps de Microsoft tenían una configuración de permisos incorrecta, lo que condujo a la filtración masiva.
Los tipos de datos varían según las fuentes, pero incluyen estados de vacunación contra el COVID-19, números de seguro social, números de teléfono y millones de nombres completos y direcciones de correo electrónico. Desde entonces, UpGuard ha notificado a las 47 empresas y entidades gubernamentales diferentes que se vieron afectadas por la filtración.
Estas entidades incluyen el Departamento de Salud de Indiana, el sistema de escuelas públicas de la ciudad de Nueva York, American Airlines y Microsoft.
Power Apps es un servicio y una plataforma que permite a los clientes crear sus propias aplicaciones y ofrece interfaces de programación de aplicaciones (API) que permiten a estas organizaciones utilizar los datos que recopilan. Sin embargo, la información obtenida a través de estas API se hace pública de forma predeterminada y, a menos que se habiliten las configuraciones de privacidad, los usuarios anónimos pueden acceder libremente a estos datos.
Microsoft implementó dos soluciones para solucionar el problema: los permisos de la tabla se establecieron como predeterminados y se agregó una nueva herramienta para ayudar a los usuarios a autodiagnosticar sus aplicaciones para encontrar fallas de seguridad.
La empresa aún recomienda que Microsoft implemente "cambios de código" en la plataforma para garantizar que no vuelva a ocurrir una violación de datos.
UpGuard publicó sus hallazgos con la esperanza de que los líderes de la industria tecnológica aprendan de esta fuga masiva y ayuden a mitigar futuros incidentes.
