Un reciente reporte afirma que los portales de Microsoft Power Apps han estado exponiendo información confidencial desde hace meses; los registros expuestos incluyen números de seguridad social, correos electrónicos e incluso comprobantes de vacunación contra la COVID-19. Para empeorar las cosas, la información filtrada puede ser vinculada a clientes, socios y contratistas de organizaciones como American Airlines, Ford, el Departamento de Salud de Indiana y las escuelas públicas del estado de Nueva York.
Como algunos usuarios recordarán, Power Apps es descrito por Microsoft como un conjunto de aplicaciones y servicios para un entorno de desarrollo rápido y que permite crear aplicaciones personalizadas para cada organización. Esta herramienta es empleada por muchos desarrolladores para compartir datos de forma local y en la nube.
Según el reporte de la firma UpGuard Research, el portal de administración web de Power Apps expuso de forma inadvertida los datos de 47 organizaciones, lo que equivale a 38 millones de registros personales. El reporte menciona que esto se debe a que los administradores de Power Apps se ven forzados a configurar su información como pública o privada.
“La filtración está relacionada con la forma en que la plataforma juega con el uso del Open Data Protocol (OData) y su API. Por ejemplo, algunos datos administrados dentro de la plataforma deben ser forzosamente públicos, mientras que se permite a los desarrolladores mantener información privada”, señala el reporte.
Los investigadores afirman que el incidente involucra información sensible que debería ser configurada como privada: “El principal problema es que las opciones de configuración de Microsoft para compartir datos y almacenar información confidencial crea la posibilidad de filtraciones de datos”, agregan los expertos.
Lo más grave, consideran los investigadores, es que estos errores de configuración son tan comunes que pueden considerarse una práctica sistémica: “La evidencia sugiere que las advertencias incluidas por Microsoft no funcionan para evitar las consecuencias de las configuraciones incorrectas, por lo que virtualmente todos los usuarios se verían afectados.”
La compañía notificó a Microsoft sus hallazgos esperando que se presentaran algunos cambios, por lo que les resultó sorpresiva la postura de la compañía. La compañía tecnológica menciona que este no es un error, sino una opción de configuración, por lo que consideran que Power Apps trabaja según lo esperado y el caso se dio por cerrado.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.