- Más de 38 millones de registros se filtraron en línea debido a que las personas usaban configuraciones predeterminadas en los portales de Microsoft Power Apps.
- Todos estos datos confidenciales que quedaron expuestos se almacenaron en el servicio del portal Power Apps de Microsoft, según los investigadores.
- Al habilitar ciertas API, la plataforma dejó de hacer pública la información correspondiente.
- La mala configuración de las bases de datos basadas en la nube ha sido un problema grave a lo largo de los años, exponiendo enormes cantidades de datos a accesos inapropiados o robos.
Como sabe, Power Apps es la plataforma de código bajo de Microsoft para que las organizaciones desarrollen rápidamente aplicaciones completas, principalmente para uso interno, con una interfaz y un backend.
Realmente es una herramienta poderosa, que le permite crear aplicaciones, incluso si no es un experto en programación.
Aunque Microsoft actualiza periódicamente Power Apps con nuevas características y capacidades, un nuevo informe puede ser motivo de preocupación para las organizaciones.
Parece que más de 38 millones de registros se han filtrado en línea debido a que las personas utilizan configuraciones predeterminadas en los portales de Microsoft Power Apps.
El incidente afectó a importantes empresas como American Airlines, Ford, la empresa de transporte y logística J.B. Hunt, el Departamento de Salud de Maryland, la Autoridad de Transporte Municipal de la ciudad de Nueva York y el público de la ciudad de Nueva York escuelas.
Y aunque se han abordado las exposiciones de datos, muestran cómo una configuración incorrecta en una plataforma popular puede tener consecuencias de gran alcance.
Información de rastreo de contactos expuesta a través de Internet
Todos los datos expuestos se almacenaron en el servicio del portal Power Apps de Microsoft, que es una plataforma de desarrollo que facilita la creación de aplicaciones web o móviles para uso externo.
Si necesita crear rápidamente un sitio de registro de citas para vacunas durante, digamos, una pandemia, los portales de Power Apps pueden generar tanto el sitio de cara al público como el backend de administración de datos.
En mayo, investigadores de la empresa de seguridad Upguard comenzó a investigar una gran cantidad de portales de Power Apps que exponen públicamente datos que deberían haber sido privados.
Entre estos se encuentran algunas Power Apps que Microsoft creó para sus propios fines.
Sin embargo, no se sabe que ninguno de los datos se haya visto comprometido, pero el hallazgo sigue siendo importante, ya que revela un descuido en el diseño de los portales de Power Apps que se ha solucionado desde entonces.
Además de administrar las bases de datos internas y ofrecer una base para desarrollar aplicaciones, la plataforma Power Apps también proporciona interfaces de programación de aplicaciones listas para interactuar con esos datos.
La mala configuración conduce a la vulnerabilidad
Los investigadores de Upguard se dieron cuenta de que al habilitar estas API, la plataforma dejaba de hacer pública la información correspondiente.
Habilitar la configuración de privacidad fue un proceso manual y, como resultado, muchos clientes configuraron incorrectamente sus aplicaciones al dejar la configuración predeterminada insegura.
Encontramos uno de estos que estaba mal configurado para exponer datos y pensamos, nunca habíamos oído hablar de esto, ¿es algo único o es un problema sistémico? Debido a la forma en que funciona el producto de portales de Power Apps, es muy fácil hacer una encuesta rápidamente. Y descubrimos que hay toneladas de estos expuestos. Fue salvaje.
Microsoft mismo expuso una serie de bases de datos en sus propios portales de Power Apps, incluido un antiguo plataforma denominada Global Payroll Services, dos portales de soporte de herramientas empresariales y un Customer Insights portal.
La mala configuración de las bases de datos basadas en la nube ha sido un problema grave a lo largo de los años, exponiendo enormes cantidades de datos a accesos inapropiados o robos.
Las grandes empresas de la nube como Amazon Web Services, Google Cloud Platform y Microsoft Azure han tomado medidas para almacenar los datos de los clientes. de forma privada de forma predeterminada desde el principio y señalar posibles errores de configuración, pero la industria no dio prioridad al problema hasta que recientemente.
Los investigadores de Upguard no pudieron llegar a todas las entidades, porque había demasiadas, por lo que también revelaron los hallazgos a Microsoft.
Los usuarios pueden verificar la configuración de su portal con la herramienta de Microsoft
A principios de agosto, Microsoft anunció que los portales de Power Apps ahora almacenarán de forma predeterminada datos de API y otra información de forma privada.
La empresa Redmond también lanzó una herramienta los clientes pueden utilizar para comprobar la configuración de su portal.
Pero, entre las correcciones de Microsoft y las propias notificaciones de UpGuard, los expertos ahora dicen que la gran mayoría de los portales expuestos, y todos los más sensibles, ahora son privados.
Con otras cosas en las que hemos trabajado, es de conocimiento público que los depósitos en la nube pueden estar mal configurados, por lo que no nos corresponde a nosotros ayudar a protegerlos todos. Pero nadie los había limpiado antes, por lo que sentimos que teníamos el deber ético de asegurar al menos los más sensibles antes de poder hablar sobre los problemas sistémicos.
¿Cuál es su opinión sobre toda esta situación? Comparta sus pensamientos con nosotros en la sección de comentarios a continuación.
