38 millones de registros expuestos de Microsoft Power Apps

Más de 38 millones de registros de 47 entidades diferentes que dependen de la plataforma de portales Power Apps de Microsoft quedaron expuestos inadvertidamente en línea, lo que puso de manifiesto un «nuevo vector de exposición de datos«.

«Los tipos de datos variaron entre portales, incluida la información personal utilizada para el rastreo de contactos COVID-19, citas de vacunación COVID-19, números de seguro social para solicitantes de empleo, identificaciones de empleados y millones de nombres y direcciones de correo electrónico», dijo el equipo de investigación de UpGuard en una divulgación hecha pública el lunes.

Se dice que los organismos gubernamentales como Indiana, Maryland y la ciudad de Nueva York, y empresas privadas como American Airlines, Ford, JB Hunt y Microsoft se han visto afectados. Entre la información más sensible que quedó a la vista se encuentran 332.000 direcciones de correo electrónico e identificaciones de empleados utilizadas por los propios servicios de nómina global de Microsoft, así como más de 85.000 registros relacionados con el soporte de herramientas empresariales y los portales de realidad mixta.

Power Apps es una plataforma de desarrollo impulsada por Microsoft para crear aplicaciones comerciales personalizadas de bajo código que funcionan en dispositivos móviles y la web utilizando plantillas prediseñadas, además de ofrecer API para permitir el acceso a los datos de otras aplicaciones, incluidas opciones para recuperar y almacenar información. La compañía describe el servicio como un «conjunto de aplicaciones, servicios y conectores, así como una plataforma de datos, que proporciona un entorno de desarrollo rápido para crear aplicaciones personalizadas para sus necesidades comerciales».

Pero una configuración incorrecta en la forma en que un portal podría compartir y almacenar datos podría conducir a un escenario en el que los datos confidenciales se hagan accesibles al público, lo que resultaría en una posible filtración de datos.

«Los portales de Power Apps tienen opciones integradas para compartir datos, pero también incorporan tipos de datos que son intrínsecamente sensibles», dijeron los investigadores. «En casos como las páginas de registro para las vacunas COVID-19, hay tipos de datos que deben ser públicos, como la ubicación de los sitios de vacunación y los horarios de citas disponibles, y datos confidenciales que deben ser privados, como la información de identificación personal de las personas que se vacunan. . «

UpGuard dijo que notificó a Microsoft sobre la fuga de datos el 24 de junio de 2021, solo para que la compañía cerrara inicialmente el caso, citando que el comportamiento fue «por diseño», pero posteriormente tomó medidas para alertar a sus clientes gubernamentales de la nube del problema a raíz de un informe de abuso presentado por la firma de seguridad el 15 de julio.

Además, Microsoft ha lanzado una herramienta llamada Portal Checker para diagnosticar cualquier exposición potencial que surja por motivos de mala configuración y ha realizado actualizaciones para que «los portales recién creados tengan permisos de tabla para todos los formularios y listas independientemente de la configuración Habilitar permisos de tabla».

«Si bien entendemos (y estamos de acuerdo con) la posición de Microsoft de que el problema aquí no es estrictamente una vulnerabilidad de software, es un problema de plataforma que requiere cambios de código en el producto y, por lo tanto, debería ir en el mismo flujo de trabajo que las vulnerabilidades», señalaron los investigadores. .

«Es una mejor solución cambiar el producto en respuesta a los comportamientos observados del usuario que etiquetar la pérdida sistémica de la confidencialidad de los datos como una mala configuración del usuario final, lo que permite que el problema persista y exponga a los usuarios finales al riesgo de ciberseguridad de una violación de datos».

FUENTE: underc0de

Comments are closed.