Más de 38 millones de registros de 47 entidades diferentes que dependen de la plataforma del portal Power Apps de Microsoft quedaron expuestos en línea sin darse cuenta, lo que agudiza el «nuevo vector de exposición de datos».
«Los tipos de datos variaron entre los portales, incluidos los datos personales utilizados para rastrear los contactos de COVID-19, las reuniones de vacunación de COVID-19, los números de seguro social de los solicitantes de empleo, las identificaciones de los empleados y millones de nombres y direcciones de correo electrónico», dijo el equipo de UpGuard. .
Gobiernos como los de Indiana, Maryland y la ciudad de Nueva York, así como empresas privadas como American Airlines, Ford, JB Hunt y Microsoft, se han visto afectados. La información más confidencial que permaneció abierta incluía 332.000 direcciones de correo electrónico e ID de empleados utilizados por los propios servicios de nómina global de Microsoft, así como más de 85.000 registros relacionados con los portales Business Tools Support y Mixed Reality.
Power Apps es la plataforma de desarrollo de Microsoft para crear aplicaciones empresariales personalizadas y de bajo código que se ejecutan en dispositivos móviles y en la web utilizando plantillas prediseñadas, y ofrece API para acceder a datos de otras aplicaciones, incluida la capacidad de recuperar y almacenar información. La empresa describe el servicio como «un conjunto de aplicaciones, servicios y conectores, así como una plataforma de datos que proporciona un entorno de desarrollo rápido para crear aplicaciones personalizadas para las necesidades de su negocio».
Pero la configuración incorrecta de cómo el portal podría compartir y almacenar datos puede conducir a un escenario en el que los datos confidenciales estén disponibles públicamente, lo que resultará en una posible fuga de datos.
«Los portales de Power Apps tienen capacidades integradas para compartir datos, pero también tienen tipos de datos integrados que son inherentemente sensibles», dijeron los investigadores. “En casos como los sitios de registro de vacunación contra el COVID-19, hay tipos de datos que deberían ser públicos, como la ubicación de los sitios de vacunación y los horarios de reunión disponibles, y datos confidenciales que deberían ser privados, como la información de identificación personal de las personas vacunadas. . . «
UpGuard dijo que informó a Microsoft sobre la violación de datos el 24 de junio de 2021, solo para cerrar el caso primero, diciendo que el comportamiento fue «intencional», pero luego tomó medidas para alertar a sus clientes gubernamentales en la nube sobre el problema como resultado del informe de abuso. presentada por la empresa de seguridad el 15 de julio.
Además, Microsoft lanzó una herramienta llamada Portal Checker para diagnosticar cualquier amenaza potencial causada por una configuración incorrecta y realizó actualizaciones para que «los portales recién creados tengan permisos de tabla aplicados en todos los formularios y listas, independientemente de la configuración Permitir permisos de tabla».
«Si bien entendemos (y estamos de acuerdo con) la opinión de Microsoft de que el problema aquí no es estrictamente una vulnerabilidad de software, es un problema de plataforma que requiere cambios en el código del producto y, por lo tanto, debería entrar en el mismo flujo de trabajo que las vulnerabilidades», dijeron los investigadores. .
«Es una mejor solución cambiar el producto en respuesta al comportamiento observado del usuario que etiquetar la pérdida de confidencialidad de los datos del sistema como una configuración incorrecta del usuario final, lo que permite que el problema persista y expone a los usuarios finales al riesgo de seguridad cibernética en la forma de violaciones de datos».
