Una herramienta de Microsoft mal utilizada filtró datos de 47 organizaciones

Imagen del artículo titulado Una herramienta de Microsoft mal utilizada filtró tesoros de datos de 47 organizaciones

Foto: Peter Macdiarmid (imágenes falsas)

Una nueva investigación muestra que las configuraciones incorrectas de una herramienta web ampliamente utilizada han provocado la filtración de decenas de millones de registros de datos.

De Microsoft Aplicaciones de energía, una plataforma de desarrollo popular, permite a las organizaciones crear rápidamente aplicaciones web, repletas de sitios web públicos y administración de datos backend relacionados. Muchos gobiernos han utilizado Power Apps para implementar rápidamente las interfaces de seguimiento de contactos covid-19, por ejemplo.

Sin embargo, las configuraciones incorrectas del producto pueden dejar grandes cantidades de datos expuestos públicamente a la web, que es exactamente lo que ha estado sucediendo.

Investigadores de la firma de ciberseguridad UpGuard Descubierto recientemente que hasta 47 entidades diferentes, incluidos gobiernos, grandes empresas y la propia Microsoft, habían configurado mal sus Power Apps para dejar los datos expuestos.

La lista incluye algunas instituciones muy grandes, incluidos los gobiernos estatales de Maryland e Indiana y agencias públicas de la ciudad de Nueva York, como la MTA. Las grandes empresas privadas, incluidas American Airlines y la empresa de transporte y logística JB Hunt, también han sufrido filtraciones.

Los investigadores de UpGuard escriben que los tesoros de datos filtrados han incluido muchas cosas sensibles, incluyendo “Información personal utilizada para el rastreo de contactos COVID-19, citas de vacunación COVID-19, números de seguro social para solicitantes de empleo, identificaciones de empleados y millones de nombres y direcciones de correo electrónico”.

Según los investigadores, la propia Microsoft aparentemente configuró incorrectamente varias de sus propias bases de datos de Power Apps, dejando expuestas grandes cantidades de sus registros. Uno de ellos aparentemente incluía una “colección de 332.000 direcciones de correo electrónico e identificaciones de empleados utilizados para los servicios de nómina global de Microsoft”, escriben los investigadores.

En junio, UpGuard se comunicó con el Centro de recursos de seguridad de Microsoft para enviar un informe de vulnerabilidad, alertándolos sobre el problema generalizado. En total, 38 millones de registros aparentemente fueron expuestos como resultado de las filtraciones que observaron los investigadores.

UpGuard finalmente concluyó que Microsoft no ha publicado lo suficiente este problema de seguridad y que debería haberse hecho más para alertar a los clientes sobre los peligros de una mala configuración. Los investigadores escriben:

El número de cuentas que exponen información confidencial … indica que el riesgo de esta función: la probabilidad y el impacto de su mala configuración– no se ha apreciado adecuadamente. Por un lado, la documentación del producto describe con precisión lo que sucede si una aplicación se configura de esta manera. Por otro lado, la evidencia empírica sugiere que una advertencia en la documentación técnica no es suficiente para evitar las graves consecuencias de una configuración incorrecta de las fuentes de listas de OData para los portales de Power Apps.

Tras las divulgaciones de UpGuard, Microsoft desde entonces ha cambiado permisos y configuraciones predeterminadas relacionadas con Power Apps para hacer que el producto sea más seguro.

.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.