Una débil configuración de privacidad de la plataforma de Microsoft Power Apps expone millones de datos personales, incluidas categorías especiales de datos.
Millones de datos personales de más de mil apps han quedado expuestos a causa de una débil configuración de privacidad de la plataforma usada para crearlas. Se ha estimado que un total de 38 millones de datos habrían sido comprometidos. Mientras que no existe evidencia de que nadie haya accedido a los registros, los cuales incluían grandes cantidades de datos sensibles, estos se podían acceder da manera libre online.
Los investigadores descubrieron que los ajustes preconfigurados de Power Apps exponían los datos y los hacían accesibles.
Los investigadores de una organización denominada Upguard descubrieron una vulnerabilidad en una app al habilitar las APIs e identificaron que los ajustes preconfigurados hacían los datos accesibles. Tras una revisión más detallada, encontraron cientos de aplicaciones más con una configuración similar, lo que dejaba millones de datos personales expuestos en internet, incluidos números de teléfono, direcciones, números de la seguridad social e incluso estatus de vacunación de COVID-19. En consecuencia, muchas grandes empresas y organizaciones se han visto afectadas. A pesar de que no se han identificado evidencias de que terceros hayan accedido a los registros, esta situación pone de manifiesto la importancia de confirmar la privacidad por diseño y por defecto, especialmente en lo que se refiere a las aplicaciones de almacenamiento en la nube.
Una mala configuración es un problema común en las plataformas en la nube, y muchas grandes empresas han tomado ya medidas para garantizar la privacidad.
Los datos afectados se almacenaban en el portal de Microsoft Power Apps, una plataforma en la nube que permite un desarrollo sencillo de apps web y móviles para uso externo. La mala configuración de los ajustes es un problema común en este tipo de entornos, y por ello grandes empresas como Amazon, Google y Microsoft ya han tomado medidas en sus servicios Amazon Web Services, Google Cloud Platform y Microsoft Azure para asegurar que los datos personales se almacenan de manera privada por defecto y para identificar potenciales vulnerabilidades.
Microsoft tomó acciones de manera inmediata para corregir la vulnerabilidad y cambiar los ajustes preconfigurados.
Los investigadores de Upguard, la organización que descubrió la vulnerabilidad, llevaron a cabo acciones de manera inmediata y notificaron a tantas empresas como fue posible, pero muchas quedaron fuera debido al gran alcance de los daños. También informaron a Microsoft, tras lo cual la compañía tomó los pasos necesarios para corregirlo. A principios de este mes Microsoft anunció que el portal de Power Apps a partir de ahora almacenará los datos API y otra información de manera privada. Asimismo Microsoft ha lanzado una herramienta que los clientes pueden utilizar para comprobar los ajustes de su portal por su cuenta.
¿Ofreces o utilizas servicios de almacenamiento en la nube? ¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD, la LOPDGDD y la LSSI y subcontratación del Delegado de Protección de Datos. Podemos ayudarte. Infórmate aquí.