38 millones de datos de usuarios expuestos por Microsoft Power Apps

Logotipo de Microsoft en el campus
Fotos de VDB / Shutterstock.com

El servicio del portal Power Apps de Microsoft está diseñado para facilitar el desarrollo de aplicaciones web o móviles. Desafortunadamente, debido a un problema con la configuración de seguridad predeterminada, los datos de 38 millones de usuarios estaban disponibles públicamente cuando no debería haberlo estado.

¿Qué sucedió con Microsoft Power Apps?

Esencialmente, la plataforma Microsoft Power Apps adoptó de forma predeterminada que los datos fueran accesibles al público en lugar de mantener la privacidad de los datos de forma predeterminada, como lo descubrió Upguard y lo informó Wired . Desafortunadamente, esto significaba que cualquiera que quisiera poner en marcha rápidamente una aplicación web con estas API tendría que habilitar la seguridad manualmente, en lugar de al revés.

“El equipo de investigación de UpGuard ahora puede revelar múltiples fugas de datos resultantes de los portales de Microsoft Power Apps configurados para permitir el acceso público, un nuevo vector de exposición de datos”, dijo Upguard en una publicación de blog .

Microsoft Power Apps es utilizado por una amplia gama de empresas y organismos gubernamentales. Debido a que es rápido y fácil poner en marcha un sitio web o una aplicación, se usó con bastante frecuencia para las herramientas COVID-19 , como el rastreo de contactos, los formularios de registro de vacunas, etc. La plataforma también fue popular para almacenar portales de solicitudes de empleo y bases de datos de empleados.

Estas herramientas podrían contener datos confidenciales del usuario y un número sorprendente de ellas no tenían las medidas de seguridad activadas. Eso significa que los datos como los números de teléfono, las direcciones de los hogares, los números de la seguridad social y el estado de vacunación Covid-19 estuvieron expuestos a cualquiera que los estuviera buscando.

Solo algunos ejemplos de organizaciones afectadas son American Airlines, Ford, JB Hunt, el Departamento de Salud de Maryland, la Autoridad de Transporte Municipal de la ciudad de Nueva York y las escuelas públicas de la ciudad de Nueva York.

¿Existe una solución?

Afortunadamente, Microsoft ya ha abordado la situación . La compañía ahora lo ha hecho para que la configuración predeterminada no permita que los datos de la API y otra información estén disponibles públicamente. En cambio, los desarrolladores deberán habilitar esta configuración manualmente, que probablemente sea como debería haber sido desde el primer día.

Siempre habrá datos que los desarrolladores quieren que sean públicos, por lo que tendrán que pasar por el paso adicional de hacer que los datos seleccionados estén disponibles en lugar de hacer un esfuerzo adicional para ocultarlos. Esta es definitivamente una mejor manera de hacerlo para las personas que usan estas aplicaciones web, ya que les permite estar seguros de que sus datos privados se mantienen confidenciales. Sin embargo, el daño está hecho en este caso. Tendremos que esperar las consecuencias para ver qué tan mal está.