Un error en la configuración de Microsoft Power Apps deja expuestos millones de datos

Varias docenas de empresas y agencias gubernamentales de Estados Unidos, entre otras organizaciones, que configuraron de manera errónea y sin darse cuenta Microsoft Power Apps, unas herramientas utilizadas para compartir información, han dejado expuestos millones de datos personales durante varios meses, según la CNN. La brecha de datos ha afectado entre otras a American Airlines, el Departamento de salud de Maryland, al gobierno del estado de Indiana, y a la Autoridad de transportes del área metropolitana de Nueva York.

Según los descubridores del incidente, la compañía de ciberseguridad UpGuard, se calcula que han quedado al descubierto al menos 38 millones de registros. Entre estos datos hay información de los empleados de las empresas y organismos oficiales afectados, así como datos relacionados con vacunaciones contra el COVID-19, rastreo de contactos o citas para pruebas. También hay números de la Seguridad social, teléfonos, fechas de nacimiento, direcciones e información demográfica.

Cuando UpGuard descubrió la filtración de datos avisó a Microsoft del problema, que se encargó de cubrir la brecha y de retirar la posibilidad de acceder a través de ella a la información, que además de la información mencionada, en el caso de Ford Motor, otra de las compañías afectadas, incluía las listas de vehículos en préstamo enviados a los concesionarios. Eso sí, en este caso, según la compañía, no hubo datos personales sensibles afectados. Además, Microsoft ha configurado por defecto el software afectado para que sea más restrictivo en cuanto a acceso a datos.

Algunas de las entidades afectadas por la brecha han confirmado ya que sus sistemas ya eran seguros, además de apuntar que no hay confirmación de que haya habido acceso a los datos expuestos por parte de personas que no cuentan con acceso a ellos por su trabajo.

Se desconoce exactamente cuántas agencias del gobierno de Estados Unidos han resultado afectadas por el problema, aunque la compañía asegura que solo una parte pequeña de sus clientes, unos 50, habían configurado sus sistemas de manera que los datos con los que trabajaban en el software mencionado. Puede que sean más, porque hay posibilidades de que algunas entidades ni se hayan dado cuenta de que lo han hecho.

La brecha fue descubierta el pasado 24 de mayo, y tras rastrear la web en busca de bases de datos afectadas, UpGuard notificó el problema a Microsoft un mes después, el 24 de junio, identificándolo como una posible vulnerabilidad de software. Después empezó a notificar a los afectados a primeros de julio, y muchas entidades solucionaron el problemas en unos días. Mientras, Microsoft ha confirmado que algunas entidades que se dediquen a desarrollos complejos bajo Power Apps tendrán que activar la configuración necesaria para cubrir el problema por su cuenta, y la publicado una herramienta para ayudar a las organizaciones que usan estas herramientas a verificar su configuración.