Unos 38 millones de registros, entre ellos direcciones, números de seguro social o datos relacionados con la pandemia de la Covid-19, quedaron expuestos debido a una configuración errónea de un software de Microsoft, según informó la empresa de ciberseguridad UpGuard.
La firma detalló en un documento publicado en su cuenta de Twitter que el problema afectó a 47 entidades, entre ellas organismos de los Gobiernos de Indiana y Maryland o la ciudad de Nueva York, así como empresas como American Airlines, JB Hunt y Microsoft.
Leé también
Los afectados usaron Power Apps, una plataforma de desarrollo de Microsoft que permite crear aplicaciones móviles y portales web.
Un analista de UpGuard descubrió en mayo pasado cómo una configuración incorrecta por parte del usuario final podía exponer públicamente datos privados de los sitios creados con Power Apps, aunque de momento no se conoce que se hayan visto comprometidos.
Microsoft declaró cerrado el caso el pasado 29 de junio, de acuerdo UpGuard, que notificó por su parte a los afectados.
UpGuard señaló que datos de Microsoft también quedaron expuestos, entre ellos una lista de “contactos” con 332.000 registros de personas en la nómina global con su dirección de correo electrónico corporativo.
También encontraron información del Departamento de Salud de Maryland relacionada con citas para las pruebas de covid, así como registros de American Airlines con nombres completos, números de teléfono y direcciones de correo electrónico, entre otros.
Un vocero de Microsoft defendió en declaraciones a la publicación The Hill la seguridad de su producto, al indicar que la firma estuvo trabajando con los clientes afectados para garantizar la privacidad de sus datos y para notificar a aquellos cuya información estaba disponible públicamente.
La investigación concluyó que los expertos entendían -y estaban de acuerdo- con la posición de Microsoft de que el asunto no se trató de “estrictamente una vulnerabilidad de software”, sino de un “problema de plataforma que requiere cambios de código en el producto”.
Hackeo en Microsoft
En junio, la empresa desarrolladora de Windows reconoció un ataque informático. En concreto, informaron que algunas de sus herramientas de soporte al cliente fueron vulneradas por un grupo de hackers que cobró notoriedad debido a acciones tristemente célebres en el terreno de la seguridad informática.
Según The Verge, los ciberdelincuentes pertenecen a Nobelium, la agrupación de piratería que estuvo conectada con el ataque a SolarWinds, una intrusión de gran escala que comprometió a compañías, organizaciones y entidades gubernamentales en Estados Unidos.
En este caso, los piratas aprovecharon una brecha de seguridad en la computadora de un agente de servicio al cliente. La empresa reconoció que los piratas tuvieron un acceso limitado aunque pudieron ver datos sobre los servicios que usaban los clientes e información sobre facturación.
En palabras de Microsoft, los hackers utilizaron esa información vulnerada para iniciar ataques dirigidos a clientes específicos. La compañía dijo que explicó la situación a los que se vieron afectados por esta vulneración y posteriores acciones de los piratas, y que los intrusos ya no tienen acceso al dispositivo del agente de atención al cliente.
