Os registros de 38 milhões de pessoas vazaram online, de acordo com a empresa de segurança cibernética UpGuard.
UpGuard divulgou suas descobertas em uma postagem no blog, revelando que os aplicativos criados na plataforma Power Apps da Microsoft tinham configurações de permissão impróprias, o que levou ao vazamento em massa.
Os tipos de dados variam entre as fontes, mas incluem status de vacinação COVID-19, números de seguro social, números de telefone e milhões de nomes completos e endereços de e-mail. Desde então, a UpGuard notificou as 47 empresas e entidades governamentais que foram afetadas pelo vazamento.
Essas entidades incluem o Departamento de Saúde de Indiana, o sistema de escolas públicas da cidade de Nova York, American Airlines e Microsoft.
Power Apps é um serviço e plataforma que permite que os clientes criem seus próprios aplicativos e oferece interfaces de programação de aplicativos (APIs) que permitem que essas organizações usem os dados que coletam. No entanto, as informações obtidas por meio dessas APIs são tornadas públicas por padrão e, a menos que as configurações de privacidade estejam habilitadas, usuários anônimos podem acessar livremente esses dados.
A Microsoft implementou duas correções para solucionar o problema: as permissões de tabela foram definidas como padrão e uma nova ferramenta foi adicionada para ajudar os usuários a autodiagnosticar seus aplicativos para encontrar falhas de segurança.
A empresa ainda recomenda que a Microsoft implemente “alterações de código” na plataforma para garantir que uma violação de dados não ocorra novamente.
UpGuard postou suas descobertas na esperança de que os líderes do setor de tecnologia aprendam com esse vazamento maciço e ajudem a mitigar futuros incidentes.