Millones de datos mal protegidos por el software de Microsoft detectados por UpGuard
Según UpGuard unos 38 millones de datos e información personal, algunos de los cuales provienen de plataformas para rastrear casos de contacto de coronavirus, se volvieron vulnerables a principios de este año, debido a una mala configuración en el software de Microsoft utilizado por varias empresas y organizaciones.
La firma de seguridad informática UpGuard, publicó el lunes un relato de una investigación de varios meses que muestra que millones de nombres, direcciones, números de identificación fiscal y otra información confidencial han sido expuestos, pero no comprometidos.
American Airlines, Ford, JB Hunt, comunidades como Maryland Health Authority y el transporte público de la ciudad de Nueva York se encuentran entre los 47 grupos afectados. Tienen en común que utilizaron software de Microsoft, Power Apps, que facilita la creación de sitios web y aplicaciones móviles para la interacción con el público.
Por ejemplo, si una institución necesita configurar rápidamente un portal de reserva de citas para vacunas, este servicio del gigante informático proporciona tanto la fachada pública como la gestión de datos.
Pero hasta junio de 2021, la configuración de software predeterminada no protegía adecuadamente ciertos datos, explican los investigadores de UpGuard “gracias a nuestra investigación, Microsoft ha cambiado desde entonces los portales de Power Apps, dicen.
Asimismo, respondió un portavoz de Microsoft “nuestras herramientas permiten diseñar soluciones a escala, que satisfacen una amplia variedad de necesidades. Nos tomamos muy en serio la seguridad y la privacidad, alentando a nuestros clientes a configurar los productos para satisfacer mejor sus necesidades de privacidad”.
El grupo también indicó que informaba sistemáticamente a sus clientes cuando se identificaban riesgos potenciales de fugas, para que pudieran remediarlos.
Pero según UpGuard, es mejor cambiar el software en función de cómo lo usan los clientes, en lugar de “ver la falta generalizada de privacidad de los datos como una mala configuración del usuario, que mantiene el software funcionando como un problema y pone al público en riesgo”.
En conclusión “el número de cuentas en las que la información confidencial era vulnerable muestra que el riesgo asociado con esta función, la probabilidad y el impacto de una mala configuración, no se había tenido en cuenta adecuadamente”, añaden.