38 millones de registros revelados, Microsoft Power Apps tiene la culpa

Miles de aplicaciones web dejan datos confidenciales expuestos en línea debido a configuraciones mal configuradas para Microsoft Power Apps. Treinta y ocho millones de registros aparecieron en línea, incluidos números de seguro social, estado de vacunación COVID-19, direcciones de domicilio y números de teléfono. American Airlines, JB Hunt, Microsoft y varias agencias gubernamentales se encuentran entre las organizaciones afectadas. UpGuard notificó a 47 entidades sobre la exposición de datos y también se comunicó con Microsoft (a través de WIRED).

La fuga de datos se produjo como resultado de que las organizaciones usaran Microsoft Power Apps. Puede usarse para crear sitios web y administrar datos, pero si está mal configurado, puede resultar en riesgos de seguridad. Power Apps se puede utilizar para administrar los datos que las organizaciones desean publicar, como la ubicación de los centros de vacunación, así como los datos que deben permanecer privados, como los números de la Seguridad Social. La configuración predeterminada de Power Apps hace que los datos sean accesibles públicamente hasta los últimos cambios de Microsoft.

Oferta de VPN: licencia de por vida por $ 16, plan mensual por $ 1 y más

Si bien los servicios de Microsoft enumeran las implicaciones de estas configuraciones, no se aclaran, según UpGuard:

Sin embargo, el número de cuentas que exponen información confidencial muestra que el riesgo de esta función, la posibilidad y el impacto de una configuración incorrecta, no se ha apreciado lo suficiente. Por un lado, la documentación del producto describe con precisión lo que sucede cuando la aplicación se configura de esta manera. Por otro lado, la evidencia empírica muestra que las advertencias en la documentación técnica no son suficientes para evitar las graves consecuencias de una configuración incorrecta de la fuente de la lista de OData para el portal de Power Apps.

Microsoft ha habilitado los permisos de tabla de forma predeterminada. La empresa también ha proporcionado herramientas para ayudar a los usuarios de Power Apps a diagnosticar la seguridad de su portal.

Upguard resume sus pensamientos y hallazgos, que esparcen la culpa ampliamente:

Si bien entendemos (y estamos de acuerdo con) la posición de Microsoft de que el problema aquí no es estrictamente una vulnerabilidad de software, es un problema de plataforma que requiere cambios de código en el producto y, como tal, debe estar en el mismo flujo de trabajo que la vulnerabilidad. Es una mejor solución cambiar el producto en respuesta al comportamiento observado del usuario que etiquetar la pérdida sistémica de la confidencialidad de los datos como una configuración incorrecta del usuario final, lo que permite que el problema persista y exponga a los usuarios finales a riesgos de ciberseguridad por violaciones de datos.

Upguard también afirma que "Microsoft ha hecho lo mejor que ha podido" al habilitar los permisos de tabla de forma predeterminada y proporcionar herramientas de diagnóstico para los usuarios.

Podemos ganar comisiones por compras usando nuestros enlaces. Estudia de nuevo.


Vía:

X-Tecno (Windows 11 Central)

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir