38 Millones de Registros de Pacientes se Ponen en Línea Después de Una Importante Violación de Datos
Una falla de seguridad importante en los portales OpenAI Power Apps de Microsoft ha afectado a cientos de aplicaciones, exponiendo aproximadamente 38 millones de registros hasta ahora. Estos últimos van desde certificados de vacunación Covid-19 hasta datos personales, incluyendo situación laboral, números de teléfono y dirección, números de seguridad social, etc. Las víctimas trabajan en pequeñas y grandes empresas en múltiples industrias e instituciones públicas como escuelas y hospitales.
Tabla de contenido
¿Un problema que permanece inactivo durante meses?
Los problemas de seguridad relacionados con la plataforma Power Apps parecen haber estado en movimiento desde mayo de 2021. En lugar de mantener la privacidad de los datos del usuario, una gran parte de las aplicaciones disponibles en el portal Power Apps de Microsoft lo ha mantenido ampliamente disponible para terceros interesados. La razón por la que surgió tal vulnerabilidad se relaciona con las interfaces de programación de aplicaciones (API) que ofrece la plataforma Power Apps para ayudar a los desarrolladores de software a crear aplicaciones móviles y web por su cuenta. En teoría, las API deberían permitir a los desarrolladores recopilar los datos que necesitan sin compartirlos en otro lugar. Si bien recopilaron registros, esas API no los mantuvieron privados. Además, los hicieron públicos por defecto porque parece que así se configuraron en primer lugar. Por lo tanto, los desarrolladores tuvieron que hacer ajustes manuales para evitar que las API de Power Apps de Microsoft expongan datos que de otro modo deberían mantener en secreto.
¿Qué pasa con el parche?
Inicialmente reacios a abordar el problema, los especialistas en seguridad de Microsoft han instado a sus clientes a "utilizar las mejores prácticas al configurar productos de la mejor manera que satisfagan sus necesidades de privacidad". Además, todas las API disponibles en la plataforma Power Apps deben mantener la privacidad de los datos de forma predeterminada sin requiriendo cualquier movimiento adicional en nombre del cliente. Microsoft hizo esfuerzos aún más extraordinarios al lanzar una herramienta de diagnóstico única de Portal Checker para ayudar a los clientes a identificar su configuración de API personalizada.
Desglose de datos expuestos
Los registros expuestos varían en términos de tema. Algunos de ellos estaban relacionados con empleados de American Airlines, mientras que otros apuntaban a escuelas de la ciudad de Nueva York. Aproximadamente 0,3 millones de direcciones de correo electrónico y 40 mil expedientes de realidad mixta también podrían haber caído en las manos equivocadas.