Una herramienta de creación de aplicaciones creada por Microsoft ha filtrado los datos de aproximadamente 38 millones de personas en línea. ¿El motivo de las filtraciones? Ajustes de privacidad configurados incorrectamente, que se establecieron para dar acceso a la API pública de forma predeterminada.
La compañía de seguridad que descubrió la filtración dice que no hay evidencia de que los datos hayan sido explotados, y Microsoft ha solucionado el problema desde entonces.
En mayo de este año, los investigadores de seguridad de UpGuard notaron una aplicación de este tipo creada por la plataforma Power Apps de Microsoft que estaba “mal configurada para exponer datos”. Se preguntaron si era solo esa aplicación o si se trataba de un “problema sistémico” en la plataforma.
Bueno, no pasó mucho tiempo antes de que se dieran cuenta de que era sistémico, con organizaciones como Ford, American Airlines, JB Hunt y varias agencias estatales de Maryland, la ciudad de Nueva York e Indiana, todas exponiendo los datos de los usuarios públicamente.
Incluso Microsoft no fue inmune, con un puñado de bases de datos antiguas expuestas al público. Esos datos iban desde nombres, números de teléfono e incluso números de seguro social, e incluso algunos datos médicos, ya que algunos de los sitios se estaban utilizando para organizar los esfuerzos de vacunación contra COVID-19.
Si nunca ha oído hablar de Power Apps antes, no está solo. También tuvimos que profundizar en la plataforma y descubrimos que es una forma sin código de crear sitios web o aplicaciones simples, que cubren tanto el sitio público como el backend que maneja los datos. Si bien los documentos del desarrollador para los permisos hablan sobre los problemas relacionados con la configuración incorrecta, lo predeterminado cuando estos feeds están habilitados es que cualquiera puede verlos.
Microsoft finalmente creó una herramienta para auditar los portales de Power Apps para los permisos de tabla correctos y está planeando cambios en la plataforma para que los permisos de tabla se apliquen de forma predeterminada. Eso debería evitar que este problema suceda en el futuro, pero es un claro recordatorio de que las configuraciones predeterminadas bien intencionadas pueden salir mal.
¿Tienes alguna idea sobre esto? Háganos saber más abajo en los comentarios o lleve la discusión a nuestro Twitter o Facebook.
