Los permisos por defecto de Microsoft Power Apps exponen 38 millones de datos personales en EEUU
Entre los datos se encuentran desde números de seguridad social de demandantes de empleo hasta millones de nombres, direcciones de correo y datos de rastreo de contactos y citas de vacunación de la Covid-19.
Los permisos por defecto en las herramientas de Microsoft Power Apps, configurados para permitir el acceso público, han expuesto 38 millones de registros de empresas e instituciones, incluyendo los datos de rastreo de contactos de Covid-19 en Estados Unidos.
Así lo ha alertado la compañía de ciberseguridad Upguard, que afirma que entre los datos expuestos por Microsoft Power Apps se encuentra todo tipo de información personal, desde números de seguridad social de demandantes de empleo hasta millones de nombres y direcciones de correo electrónico.
Asimismo, alguna de esta información corresponde a instituciones de Estados Unidos en su lucha contra la Covid-19, como los datos personales usados para el rastreo de contactos y las citas para la vacunación.
El fallo de seguridad que ha expuesto los 38 millones de registros se debe a la configuración por defecto de Microsoft Power Apps, una herramienta que permite crear aplicaciones en la nube sin necesidad de ser especialista en programación.
Aunque no se había catalogado como un problema de privacidad hasta el momento, Power Apps configura de forma automática los permisos de algunas de la bases de datos para que sean de acceso público.
Esto sucede a pesar de que las tablas de la herramienta sí previenen accesos externos, pero no cuando se integran con un elemento de la plataforma conocido como listas, de forma que terminaba siendo posible acceder a la información por la configuración de serie.
Los portales permiten que los usuarios escojan diferentes opciones de privacidad, pero Upguard ha descubierto cuatro portales de Power Apps con listas utilizadas para almacenar la información de citas médicas de usuarios.
El fallo de seguridad en cuestión se encontraba presente en el momento en que se realizó la investigación, en el mes de junio, pero tras ser informada por Upguard, Microsoft ha efectuado cambios en la configuración por defecto de Power Apps para que la herramienta deje de exponer información.
Entre las 47 entidades afectadas que se han descubierto se encuentran instituciones de Estados Unidos (Indiana, Maryland y la ciudad de Nueva York) y compañías privadas como American Airlines, J.B. Hunt y la propia Microsoft.