La configuración incorrecta de Microsoft Energy Applications expone datos de 38 millones de registros


Los datos filtrados incluían información private para el rastreo de contactos COVID-19 y las citas de vacunación, números de seguro social para solicitantes de empleo, identificaciones de empleados, nombres y direcciones de correo electrónico.

microsoft-power-apps.jpg

Imagen: Microsoft

La falta de una configuración de seguridad adecuada con las Power Apps de Microsoft ha llevado a la exposición de datos de unos 38 millones de registros, según la firma de seguridad UpGuard. En un informe publicado el lunes, UpGuard dijo que la configuración incorrecta de la plataforma de desarrollo de código bajo expuso información como el rastreo de contactos COVID-19, citas de vacunación, números de seguro social para solicitantes de empleo, identificaciones de empleados y millones de nombres y direcciones de correo electrónico.

Entre las organizaciones cuyos datos fueron expuestos se encontraban agencias gubernamentales en Indiana, Maryland y la ciudad de Nueva York, así como empresas privadas como American Airlines, J.B. Hunt e incluso la propia Microsoft.

VER: Líder empresarial como desarrollador: el auge del computer software sin código y de bajo código (PDF gratuito) (TechRepublic)

Contenido imprescindible para desarrolladores

Microsoft Power Applications es una herramienta de desarrollo de bajo código diseñada para ayudar a las personas con poca experiencia en programación a crear aplicaciones website y móviles para sus organizaciones. Como parte del proceso, Microsoft permite a los clientes configurar Portales de Ability Applications como sitios website públicos para brindar a los usuarios internos y externos un acceso seguro a los datos requeridos. Y ahí radica el meollo del problema de seguridad.

Para permitir el acceso a los datos, Ability Applications united states un OData (Protocolo de datos abiertos) API. La API recupera datos de las listas de Electric power Apps, que extraen los datos de las tablas de una foundation de datos. Sin embargo, el acceso a las tablas de datos se ha establecido como público de forma predeterminada. Para controlar quién puede recuperar los datos, se suponía que los clientes configuraban y habilitaban activamente una configuración de Permisos de tabla. Y aparentemente muchos no lo hicieron, permitiendo así que cualquier usuario anónimo acceda libremente a los datos.

Como explica Microsoft en un documento técnico sobre listas en Energy Apps: «Para proteger una lista, debe configurar los permisos de tabla para la tabla para la que se muestran los registros y también establecer el valor booleano Habilitar permisos de tabla en el registro de lista en verdadero». El documento también advierte: «Tenga cuidado al habilitar fuentes de OData sin permisos de tabla para información confidencial. Se puede acceder a la fuente de OData de forma anónima y sin verificaciones de autorización si Habilitar permisos de tabla está deshabilitado».

Ciertamente, las configuraciones erróneas y los errores del usuario son una causa común de problemas de seguridad. Pero a medida que los proveedores impulsan productos de desarrollo de código bajo y sin código para clientes no técnicos, aumentan las posibilidades de errores. Esto es especialmente cierto a medida que las organizaciones recurren cada vez más a la nube para configurar aplicaciones y acceso a datos.

«La prisa por la nube ha expuesto la inexperiencia de muchas organizaciones con las diversas plataformas de nube y los riesgos de sus configuraciones predeterminadas», dijo el vicepresidente de arquitectura de Cerberus Sentinel Solutions, Chris Clements. «Desarrollar en una nube pública puede tener ventajas de escalabilidad y eficiencia, pero a menudo también elimina la &#39red de seguridad&#39 del desarrollo realizado dentro de las redes internas protegidas por el acceso externo mediante el firewall perimetral».

VER: Una mirada al inside de Electric power System System Advisor de Microsoft (TechRepublic)

Tras su investigación inicial que comenzó el 24 de mayo de 2021, UpGuard dijo que presentó un informe de vulnerabilidad al Centro de recursos de seguridad de Microsoft un mes después, el 24 de junio. El informe contenía los pasos necesarios para identificar los feeds de OData que permitían el acceso anónimo a los datos de la lista y las URL. para cuentas que exponen datos confidenciales.

En respuesta, Microsoft cerró el caso el 29 de junio, y un analista de la compañía le dijo a UpGuard que había «determinado que este comportamiento se consideraba por diseño». Después de más intercambios entre UpGuard y Microsoft, algunas de las organizaciones afectadas fueron notificadas sobre el problema de seguridad. En última instancia, Microsoft realizó cambios en los portales de Electrical power Apps para que los permisos de las tablas ahora estén habilitados de forma predeterminada. La empresa también lanzó una herramienta para ayudar a los clientes de Energy Applications a verificar su configuración de permisos.

«Si bien entendemos (y estamos de acuerdo con) la posición de Microsoft de que el problema aquí no es estrictamente una vulnerabilidad de software program, es un problema de plataforma que requiere cambios de código en el producto y, por lo tanto, debería ir en el mismo flujo de trabajo que las vulnerabilidades», dijo UpGuard en su informe. «Es una mejor solución cambiar el producto en respuesta a los comportamientos observados del usuario que etiquetar la pérdida sistémica de la confidencialidad de los datos como una configuración incorrecta del usuario ultimate, lo que permite que el problema persista y exponga a los usuarios finales al riesgo de ciberseguridad de una violación de datos».

Ver también



Enlace a la noticia unique