Unos 38 millones de registros, entre ellos direcciones, números de seguro social o datos relacionados con la pandemia de la covid-19, quedaron expuestos debido a una configuración errónea de un software de Microsoft, reveló el pasado lunes la empresa de ciberseguridad UpGuard.
La firma detalló en un documento publicado en su cuenta de Twitter que el problema afectó a 47 entidades, entre ellas organismos de los Gobiernos de Indiana y Maryland o la ciudad de Nueva York, así como empresas como American Airlines, JB Hunt y Microsoft.
Los afectados usaron Power Apps, una plataforma de desarrollo de Microsoft que permite crear aplicaciones móviles y portales web.
Un analista de UpGuard descubrió en mayo pasado cómo una configuración incorrecta por parte del usuario final podía exponer públicamente datos privados de los sitios creados con Power Apps, aunque de momento no se conoce que se hayan visto comprometidos.
Las power apps permiten crear fácilmente sitios web y aplicaciones móviles de interacción con el público. Por ejemplo, si una institución necesita disponer rápidamente de un portal de reserva de citas para vacunas, este servicio de Microsoft proporciona tanto la fachada pública como la gestión de datos.
Microsoft declaró cerrado el caso el pasado 29 de junio, de acuerdo UpGuard, que notificó por su parte a los afectados.
UpGuard señaló que datos de Microsoft también quedaron expuestos, entre ellos una lista de "contactos" con 332.000 registros de personas en la nómina global con su dirección de correo electrónico corporativo.
También encontraron información del Departamento de Salud de Maryland relacionada con citas para las pruebas de covid, así como registros de American Airlines con nombres completos, números de teléfono y direcciones de correo electrónico, entre otros.
Un portavoz de Microsoft defendió en declaraciones a la publicación The Hill la seguridad de su producto, al indicar que la firma ha estado trabajando con los clientes afectados para garantizar la privacidad de sus datos y para notificar a aquellos cuya información estaba disponible públicamente.
"Nuestras herramientas ayudan a diseñar soluciones a escala que satisfacen una amplia variedad de necesidades. Nos tomamos muy en serio la seguridad y la privacidad, y alentamos a nuestros clientes a configurar los productos para satisfacer mejor sus necesidades de privacidad", dijo un portavoz del gigante informático.
La investigación concluyó que los expertos entendían -y estaban de acuerdo- con la posición de Microsoft de que el asunto no se trató de "estrictamente una vulnerabilidad de software", sino de un "problema de plataforma que requiere cambios de código en el producto".
"El número de cuentas en las que información sensible estuvo vulnerable muestra que el riesgo asociado con esta función -la probabilidad y el impacto de una mala configuración- no había sido tomada en cuenta adecuadamente", añadió la firma.
El pasado miércoles 25 de agosto, el presidente estadounidense, Joe Biden y jefes de tecnológicas y otras compañías se reunieron de urgencia para analizar la ciberseguridad tras varios ataques informáticos que revelaron la vulnerabilidad de numerosas infraestructuras.
La Casa Blanca acogió a dirigentes de Google, Apple, Amazon y Microsoft, así como presidentes de grandes grupos empresariales, bancos, aseguradoras y servicios esenciales (agua, electricidad).
Tras la reunión, las grandes tecnológicas, incluyendo las líderes en la internet desmaterializada (nube), anunciaron en un comunicado inversiones y programas de formación en ciberseguridad.