Las empresas que utilizan los portales de Microsoft Power Apps han expuesto sus registros

Alexandru Poloboc

de Alexandru Poloboc

Editor de noticias

Con un deseo irresistible de llegar siempre al fondo de las cosas y descubrir la verdad, Alex pasó la mayor parte de su tiempo trabajando como periodista, presentador, televisión y radio … Leer más.

  • Más de 38 millones de registros se han filtrado en línea debido a que las personas utilizan configuraciones predeterminadas en los portales de Microsoft Power Apps.
  • Todos estos datos confidenciales expuestos se almacenaron en el servicio del portal Power Apps de Microsoft, según los investigadores.
  • Después de habilitar ciertas API, la plataforma hizo que los datos correspondientes fueran accesibles al público.
  • La configuración incorrecta de las bases de datos basadas en la nube ha sido un problema grave a lo largo de los años, exponiendo enormes cantidades de datos a accesos inapropiados o robos.

microsoft powerapps

Como sabe, Power Apps es la plataforma de código bajo de Microsoft que permite a las organizaciones desarrollar rápidamente aplicaciones completas, principalmente para uso interno, con frontend y backend.

Realmente es una herramienta poderosa, que te permite crear aplicaciones, incluso si no eres un experto en programación.

Si bien Microsoft actualiza periódicamente Power Apps con nuevas características y funcionalidades, un nuevo informe podría ser motivo de preocupación para las organizaciones.

Parece que más de 38 millones de registros se han filtrado en línea debido a que las personas utilizan configuraciones predeterminadas en los portales de Microsoft Power Apps.

El accidente afectó a importantes empresas como American Airlines, Ford, la empresa de transporte y logística JB Hunt, el Departamento de Salud de Maryland, la Autoridad de Transporte Municipal de la ciudad de Nueva York y las escuelas públicas de la ciudad de Nueva York.

Y aunque se han abordado las exposiciones de datos, muestran cómo una mala configuración en una plataforma popular puede tener consecuencias de gran alcance.

Información de seguimiento de contactos expuesta en Internet

Todos los datos expuestos se almacenaron en el servicio del portal Power Apps de Microsoft, una plataforma de desarrollo que facilita la creación de aplicaciones web o móviles para uso externo.

Si necesita crear rápidamente un sitio de registro de citas de vacunas durante, por ejemplo, una pandemia, los portales de Power Apps pueden generar tanto el sitio público como el backend de administración de datos.

En mayo, investigadores de la firma de seguridad Upguard comenzó a investigar una gran cantidad de portales de Power Apps que muestran públicamente datos que deberían haber sido privados.

Entre ellos se encuentran algunas Power Apps creadas por Microsoft para sus propios fines.

Sin embargo, no se sabe que ninguno de los datos se haya visto comprometido, pero el descubrimiento sigue siendo importante, ya que revela un descuido en el diseño de los portales de Power Apps que desde entonces se ha corregido.

Además de administrar bases de datos internas y proporcionar una base para el desarrollo de aplicaciones, la plataforma Power Apps también proporciona interfaces de programación de aplicaciones listas para interactuar con esos datos.

La configuración incorrecta conduce a la vulnerabilidad

Los investigadores de Upguard se dieron cuenta de que cuando se habilitaban estas API, la plataforma hacía que los datos correspondientes fueran accesibles al público.

Habilitar la configuración de privacidad fue un proceso manual y, como resultado, muchos clientes han configurado mal sus aplicaciones dejando insegura la predeterminada.

Encontramos uno de estos que estaba mal configurado para exponer datos y pensamos, ¿nunca hemos oído hablar de él, es algo único o es un problema sistémico? Debido a la forma en que funciona el producto Power Apps Portals, es muy fácil ejecutar una encuesta rápidamente. Y descubrimos que hay toneladas de ellos en exhibición. Estaba salvaje.

La propia Microsoft ha expuesto una serie de bases de datos en sus portales de Power Apps, incluida una plataforma antigua llamada Global Payroll Services, dos portales de soporte de herramientas comerciales y un portal de Customer Insights.

La configuración incorrecta de las bases de datos basadas en la nube ha sido un problema grave a lo largo de los años, exponiendo enormes cantidades de datos a accesos inapropiados o robos.

Las grandes empresas en la nube como Amazon Web Services, Google Cloud Platform y Microsoft Azure han tomado medidas para almacenar los datos de los clientes de forma privada de forma predeterminada desde el principio e informar posibles errores de configuración, pero la industria no ha priorizado el problema hasta hace poco.

Los investigadores de Upguard no lograron llegar a todas las entidades, porque había demasiadas, por lo que también revelaron los resultados a Microsoft.

Los usuarios pueden verificar la configuración de su portal con la herramienta de Microsoft

A principios de agosto, Microsoft anunció que los portales de Power Apps ahora almacenan datos de API y otra información de forma privada de forma predeterminada.

También la empresa Redmond lanzó una herramienta los clientes pueden utilizar para comprobar la configuración del portal.

Pero, en medio de las correcciones de Microsoft y las notificaciones de UpGuard, los expertos ahora afirman que la gran mayoría de los portales expuestos, y todos los más sensibles, ahora son privados.

Con otras cosas en las que hemos estado trabajando, es de conocimiento público que los depósitos en la nube pueden estar mal configurados, por lo que no depende de nosotros ayudar a protegerlos a todos. Pero nadie los había limpiado antes, por lo que sentimos que teníamos el deber ético de proteger al menos a los más sensibles antes de que pudiéramos hablar de problemas sistémicos.

¿Cuál es tu opinión sobre toda esta situación? Comparta sus pensamientos con nosotros en la sección de comentarios a continuación.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *