38 millones de registros expuestos, culpa de Microsoft Power Apps

Miles de aplicaciones web han dejado datos confidenciales expuestos en línea debido a configuraciones mal configuradas para Microsoft Power Apps. Treinta y ocho millones de registros han aparecido en línea, incluidos números de seguro social, estados de vacunación COVID-19, direcciones de domicilio y números de teléfono. American Airlines, JB Hunt, Microsoft y varias agencias gubernamentales se encuentran entre las organizaciones involucradas. UpGuard informó a 47 entidades sobre la exposición de datos y también se comunicó con Microsoft al respecto (a través de WIRED).

Las fugas de datos son el resultado de organizaciones que utilizan Microsoft Power Apps. Estos se pueden utilizar para crear sitios web y administrar datos, pero si se configuran incorrectamente, pueden generar riesgos de seguridad. Power Apps se puede utilizar para administrar los datos que las organizaciones desean hacer públicos, como las ubicaciones de los centros de vacunación, así como los datos que deben mantenerse privados, como los números de la seguridad social. La configuración predeterminada de Power Apps dejó los datos disponibles públicamente hasta un cambio reciente de Microsoft.

Ofertas de VPN: licencia de por vida por $ 16, planes mensuales por $ 1 y más

Aunque el servicio de Microsoft enumeró las implicaciones de estas configuraciones, no estaban claras, según UpGuard:

Sin embargo, el número de cuentas que exponen información confidencial indica que el riesgo de esta característica (la probabilidad y el impacto de su configuración incorrecta) no se ha apreciado lo suficiente. Por un lado, la documentación del producto describe con precisión qué sucede si una aplicación se configura de esta manera. Por otro lado, la evidencia empírica sugiere que una advertencia en la documentación técnica no es suficiente para evitar las graves consecuencias de una configuración incorrecta de las fuentes de listas de OData para los portales de Power Apps.

Desde entonces, Microsoft ha habilitado los permisos de tabla predeterminados. La empresa también proporcionó una herramienta para ayudar a los usuarios de Power Apps a diagnosticar la seguridad de sus portales.

Upguard resume sus pensamientos y conclusiones, que culpan a varias partes:

Si bien entendemos (y estamos de acuerdo con) la posición de Microsoft de que el problema aquí no es estrictamente una vulnerabilidad de software, es un problema de plataforma que requiere cambios en el código del producto y, por lo tanto, debe ingresar en el mismo flujo de trabajo que las vulnerabilidades. Es mejor modificar el producto en respuesta a los comportamientos observados del usuario que etiquetar la pérdida sistémica de la privacidad de los datos como una configuración incorrecta del usuario final, lo que permite que el problema persista y exponga a los usuarios finales a un riesgo de ciberseguridad.

Upguard también afirma que "Microsoft ha hecho todo lo posible" al habilitar los permisos de tabla predeterminados y proporcionar una herramienta de diagnóstico a los usuarios.

Podemos ganar una comisión por compras usando nuestros enlaces. Aprende más.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir