Dados de 38 milhões de pessoas vazaram na internet por conta de configurações padrão de uma ferramenta de criação de aplicativos da Microsoft, a Power Apps. Informações como nome, e-mail, celular, número de previdência social e dados de vacinação contra a Covid-19 foram inadvertidamente publicadas por 47 empresas e entidades governamentais que usaram a ferramenta.
A falha foi descoberta inicialmente por uma equipe de pesquisa de segurança da UpGuard. "Encontramos um desses [aplicativos] que estava configurado incorretamente para expor dados e pensamos: nunca ouvimos falar disso, é algo isolado ou é um problema sistêmico? Devido à forma como o produto de portais Power Apps funciona, é muito fácil fazer uma pesquisa rapidamente. E descobrimos que há toneladas delas expostas. Foi selvagem", disse o vice-presidente de pesquisa cibernética da UpGuard, Greg Pollock, à revista estadunidense Wired.
A ferramenta permite que sites e aplicativos sejam criados facilmente, sem conhecimento prévio de programação. Dentre as empresas que expuseram dados sem saber, estão a Ford e American Airlines, além das agências estaduais de Maryland, Nova York e Indiana. Os sites e apps eram usados para ários fins, sobretudo para organizar esforços de vacinação contra a Covid-19.
O erro ocorreu porque a ferramenta Power Apps, por padrão, estava configurada para deixar todos os dados acessíveis ao público. Após a descoberta da UpGuard, a Microsoft corrigiu o problema - não há evidências de que ele chegou a ser explorado por criminosos.