Uma nova investigação revela que, devido a uma falha na configuração, aplicações web criadas através da plataforma Microsoft Power Apps acabaram por expor inadvertidamente 38 milhões de registos.

Entre os dados, vindos de 47 organizações nos Estados Unidos, incluía-se informação pessoal usada para rastreamento de contactos e marcações de vacinas contra a COVID-19, números de segurança social e de identificação de funcionários, assim como milhões de nomes e endereços de correio eletrónico.

A Microsoft Power Apps dá às organizações a possibilidade de criarem rapidamente aplicações, disponibilizando APIs para serem usadas com os seus dados. Porém, tal como indicam os investigadores da UpGuard, as APIs em questão fazem com que a informação seja tornada pública por predefinição, sendo necessária uma configuração adicional por parte dos utilizadores para torná-la privada.

Entre a lista de organizações afetadas pelo problema incluem-se empresas como a Ford, a American Airlines e a própria Microsoft, além de entidades governamentais dos estados de Maryland e Indiana e agências públicas da cidade de Nova Iorque como a MTA, responsável pelos transportes públicos municipais.

Os especialistas da empresa de cibersegurança indicam que se deram conta da situação em meados de maio, após um dos seus analistas ter encontrado uma web app com dados inadvertidamente expostos. Depois de encontrarem muitos mais portais online na mesma situação, a UpGuard reportou o problema à Microsoft em junho.

É certo que a gigante tecnológica respondeu à UpGuard, indicando mais tarde que o caso estava resolvido e que tudo se relacionava com a questão de a informação ser tornada pública por predefinição. Porém, a empresa de cibersegurança acredita que a Microsoft poderia ter tomado mais medidas para alertar os utilizadores para a situação, que, apesar de não ser propriamente uma vulnerabilidade, coloca os seus dados em sério risco.

Perante o incidente, a Microsoft lançou uma nova ferramenta concebida para ajudar os utilizadores da plataforma de criação de apps a verificarem se existem problemas de configuração. Além disso, como indica a empresa, todos os novos portais criados através da Microsoft Power Apps manterão os dados privados por predefinição.