A empresa de segurança UpGuard disse que cerca de 50 grandes empresas e instituições que usam o serviço para criar Microsoft Power Apps deixaram os dados de seus usuários abertos. Assim, devido a um erro nas configurações do serviço, os dados de 38 milhões de usuários da plataforma ficaram em domínio público.
Imagem: Alex Castro / The Verge
De acordo com as informações disponíveis, o problema atinge 47 organizações e empresas de diversos estados, incluindo órgãos governamentais dos estados de Maryland, Nova York e Indiana, além da Ford, American Airlines e JB Hunt. Quanto aos dados divulgados, estamos falando sobre os nomes dos usuários do Power Apps, seus endereços de caixas de correio, números de telefone, números de segurança social e registros de vacinação COVID-19. O motivo do vazamento está no fato de que, ao criar aplicativos na plataforma Microsoft, foram utilizadas configurações incorretas para as permissões de acesso aos dados.
«Encontramos um desses aplicativos que estava mal configurado e exposto e pensamos, nunca ouvimos falar disso, é um caso isolado ou é um problema sistêmico? Graças à forma como o portal Power Apps funcionou, foi muito fácil identificar muitos desses casos ”, comentou Greg Pollock, vice-presidente da UpGuard.
Como um lembrete, o Power Apps permite que as empresas criem aplicativos e sites simples sem habilidades de codificação. Comentando sobre este incidente, a Microsoft observou que não estamos falando de uma vulnerabilidade de plataforma, uma vez que o vazamento de dados ocorreu devido a configurações incorretas do usuário. Independentemente disso, a Microsoft alterou as configurações padrão nos aplicativos que cria em Power Apps para reduzir a probabilidade de revelar novamente os dados do usuário.