38 millones de datos de usuarios expuestos por Microsoft Power Apps

Contenidos

Logotipo de Microsoft en el campus

Power Apps de Microsoft El servicio de portal está diseñado para facilitar el desarrollo de aplicaciones web o móviles. Desafortunadamente, debido a un obstáculo con la configuración de seguridad predeterminada, los datos de 38 millones de usuarios estaban disponibles públicamente cuando no debería haberlo estado.

¿Qué sucedió con Microsoft Power Apps?

Esencialmente, la plataforma Microsoft Power Apps adoptó de forma predeterminada que los datos fueran accesibles al público en lugar de mantener la privacidad de los datos de forma predeterminada, como lo descubrió Upguard e informado por Cableado. Desafortunadamente, esto significaba que cualquiera que quisiera poner en marcha rápidamente una aplicación web con estas API tendría que habilitar la seguridad manualmente, en lugar de al revés.

«El equipo de investigación de UpGuard ahora puede revelar múltiples fugas de datos resultantes de los portales de Microsoft Power Apps configurados para permitir el acceso público, un nuevo vector de exposición de datos», dijo Upguard en un entrada en el blog.

Microsoft Power Apps es utilizado por una amplia gama de compañías y organismos gubernamentales. Debido a que es rápido y fácil poner en marcha un portal web o una aplicación, se usó con bastante frecuencia para las herramientas COVID-19, como el rastreo de contactos, los formularios de registro de vacunas, etc. La plataforma además fue popular para guardar portales de solicitudes de empleo y bases de datos de trabajadores.

Estas herramientas podrían contener datos confidenciales del usuario y un número sorprendente de ellas no tenían las medidas de seguridad activadas. Eso significa que los datos como los números de teléfono, las direcciones de los hogares, los números de la seguridad social y el estado de vacunación Covid-19 estuvieron expuestos a cualquiera que los estuviera buscando.

Solo algunos ejemplos de instituciones afectadas son American Airlines, Ford, JB Hunt, el Departamento de Salud de Maryland, la Autoridad de Transporte Municipal de la ciudad de Nueva York y las escuelas públicas de la ciudad de Nueva York.

¿Existe una solución?

Por suerte, la situación ya ha sido abordado por Microsoft. La compañía ahora lo ha hecho para que la configuración predeterminada no permita que los datos de la API y otra información estén disponibles públicamente. En cambio, los desarrolladores deberán habilitar esta configuración manualmente, que probablemente sea como debería haber sido desde el primer día.

Siempre habrá datos que los desarrolladores quieren que sean públicos, por lo que deberán de pasar por el paso adicional de hacer que los datos seleccionados estén disponibles en lugar de hacer un esfuerzo adicional para ocultarlos. Esta es definitivamente una mejor manera de hacerlo para las personas que usan estas aplicaciones web, puesto que les posibilita estar seguros de que sus datos privados se mantienen confidenciales. A pesar de esto, el daño está hecho para este caso. Tendremos que esperar las consecuencias para ver qué tan mal está.

Suscribite a nuestro Newsletter

No te enviaremos correo SPAM. Lo odiamos tanto como tú.