Jorg Greuel | imágenes falsas
Más de mil aplicaciones web expusieron por error 38 millones de registros en la Internet abierta, incluidos datos de varias plataformas de rastreo de contactos COVID-19, registros de vacunación, portales de solicitudes de empleo y bases de datos de empleados. Los datos incluían una variedad de información confidencial, desde los números de teléfono y las direcciones de las personas hasta los números de la Seguridad Social y el estado de vacunación COVID-19.
El incidente afectó a las principales empresas y organizaciones, incluidas American Airlines, Ford, la empresa de transporte y logística JB Hunt, el Departamento de Salud de Maryland, la Autoridad de Transporte Municipal de la ciudad de Nueva York y las escuelas públicas de la ciudad de Nueva York. Y aunque desde entonces se han abordado las exposiciones de datos, muestran cómo una mala configuración en una plataforma popular puede tener consecuencias de gran alcance.
Todos los datos expuestos se almacenaron en el servicio del portal Power Apps de Microsoft, una plataforma de desarrollo que facilita la creación de aplicaciones web o móviles para uso externo. Si necesita crear rápidamente un sitio de registro de citas para vacunas durante, digamos, una pandemia, los portales de Power Apps pueden generar tanto el sitio de cara al público como el backend de administración de datos.
A partir de mayo, los investigadores de la empresa de seguridad UpGuard comenzaron investigando una gran cantidad de portales de Power Apps que exponen públicamente datos que deberían haber sido privados, incluso en algunos Power Apps que Microsoft creó para sus propios fines. No se sabe que ninguno de los datos se haya visto comprometido, pero el hallazgo aún es significativo, ya que revela un descuido en el diseño de los portales de Power Apps que desde entonces se ha solucionado.
Además de administrar bases de datos internas y ofrecer una base para desarrollar aplicaciones, la plataforma Power Apps también proporciona interfaces de programación de aplicaciones listas para usar para interactuar con esos datos. Pero los investigadores de UpGuard se dieron cuenta de que al habilitar estas API, la plataforma dejaba de hacer pública la información correspondiente. Habilitar la configuración de privacidad fue un proceso manual. Como resultado, muchos clientes configuraron incorrectamente sus aplicaciones al dejar la insegura predeterminada.
“Encontramos uno de estos que estaba mal configurado para exponer datos y pensamos, nunca habíamos oído hablar de esto, ¿es algo único o es un problema sistémico?” dice Greg Pollock, vicepresidente de investigación cibernética de UpGuard. “Debido a la forma en que funciona el producto de portales de Power Apps, es muy fácil hacer una encuesta rápidamente. Y descubrimos que hay toneladas de estos expuestos. Fue salvaje “.
Los tipos de información con los que se tropezaron los investigadores fueron muy variados. La exposición de JB Hunt fueron datos de solicitantes de empleo que incluían números de seguro social. Y la propia Microsoft expuso una serie de bases de datos en sus propios portales de Power Apps, incluida una plataforma antigua llamada “Servicios de nómina global”, dos portales de “Soporte de herramientas comerciales” y un portal de “Información del cliente”.
La información fue limitada de muchas formas. El hecho de que el estado de Indiana, por ejemplo, tuviera una exposición al portal de Power Apps no significa que todos los datos que tiene el estado estuvieran expuestos. Solo participó un subconjunto de datos de seguimiento de contactos utilizados en el portal de Power Apps del estado.
La mala configuración de las bases de datos basadas en la nube ha sido un Tema serio a lo largo de los años, exponiendo enormes cantidades de datos al acceso inadecuado o al robo. Las principales empresas en la nube como Amazon Web Services, Google Cloud Platform y Microsoft Azure tienen todas tomado pasos almacenar los datos de los clientes de forma privada de forma predeterminada desde el principio y señalar posibles errores de configuración, pero la industria no dio prioridad al problema hasta hace relativamente poco tiempo.
Después de años de estudiar las configuraciones incorrectas de la nube y la exposición de datos, los investigadores de UpGuard se sorprendieron al descubrir esos problemas en una plataforma que nunca antes habían visto. UpGuard intentó estudiar las exposiciones y notificar a tantas organizaciones afectadas como fuera posible. Sin embargo, los investigadores no pudieron llegar a todas las entidades porque había demasiadas, por lo que también revelaron los hallazgos a Microsoft. A principios de agosto, Microsoft Anunciado que los portales de Power Apps ahora almacenarán de forma predeterminada datos de API y otra información de forma privada. La empresa también lanzó una herramienta los clientes pueden utilizar para comprobar la configuración de su portal. Microsoft no respondió a una solicitud de WIRED para hacer comentarios.
Si bien las organizaciones individuales atrapadas en la situación teóricamente podrían haber encontrado el problema por sí mismas, Pollock de UpGuard enfatiza que es responsabilidad de los proveedores de nube ofrecer valores predeterminados seguros y privados. De lo contrario, es inevitable que muchos usuarios expongan datos sin querer.
Es una lección que toda la industria ha tenido que aprender de forma lenta, a veces dolorosa.
“La configuración predeterminada segura es importante”, dice Kenn White, director del Open Crypto Audit Project. “Cuando surge un patrón en sistemas orientados a la web creados con una tecnología en particular que continúan estando mal configurados, algo anda muy mal. Si los desarrolladores de diversas industrias y antecedentes técnicos continúan cometiendo los mismos pasos en falso en una plataforma, el foco de atención debería estar directamente en el creador de esa plataforma “.
Entre las correcciones de Microsoft y las propias notificaciones de UpGuard, Pollock dice que la gran mayoría de los portales expuestos, y todos los más sensibles, ahora son privados.
“Con otras cosas en las que hemos trabajado, es de conocimiento público que los depósitos en la nube pueden estar mal configurados, por lo que no nos corresponde a nosotros ayudar a protegerlos todos”, dice. “Pero nadie los había limpiado antes, por lo que sentimos que teníamos el deber ético de asegurar al menos los más sensibles antes de poder hablar sobre los problemas sistémicos”.
Esta historia apareció originalmente en wired.com.