La configuración incorrecta de Microsoft Electricity Applications expone millones de registros


Los cachés de datos que eran de acceso público incluían nombres, direcciones de correo electrónico y números de seguridad social.

Se ha encontrado un whole de 38 millones de registros almacenados en cientos de portales de Microsoft Ability Applications sin protección en Online. El tesoro de datos incluía una variedad de información de identificación personal (PII) que iba desde nombres y direcciones de correo electrónico hasta números de seguridad social.

«Los tipos de datos variaron entre los portales, incluida la información own utilizada para el rastreo de contactos COVID-19, citas de vacunación COVID-19, números de seguro social para solicitantes de empleo, identificaciones de empleados y millones de nombres y direcciones de correo electrónico», dijo UpGuard en un entrada en el website detallando su descubrimiento.

Si los datos cayeran en las manos equivocadas, los ciberdelincuentes podrían abusar de ellos para realizar todo tipo de actividades ilícitas, que van desde suplantación de identidad y otros ataques de ingeniería social hasta el robo de identidad. Alternativamente, los datos podrían terminar vendiéndose en la internet oscura.

Se encontró que las múltiples filtraciones de datos descubiertas e informadas por los investigadores se originaron en los portales de Microsoft Energy Apps que se configuraron para permitir el acceso público. Los portales de Microsoft Ability Applications es una herramienta que permite a cualquier persona crear sitios world wide web receptivos y brinda a los usuarios acceso seguro interno y externo a los datos, ya sea de forma anónima o mediante el uso de proveedores de autenticación comerciales.

Para decirlo en términos más simples, el problema principal era que, en lugar de que algunos tipos de datos, como la PII, permanecieran privados, la configuración incorrecta hizo que fueran de acceso público. “En casos como las páginas de registro para las vacunas COVID-19, hay tipos de datos que deben ser públicos, como las ubicaciones de los sitios de vacunación y los horarios disponibles para las citas, y informacion delicada que debería ser privado, como el información de identificación own de las personas vacunadas ”, explicó UpGuard.

En overall, 47 instituciones, empresas y organismos gubernamentales de todo Estados Unidos se vieron afectados. La lista incluye American Airlines, el fabricante de automóviles Ford, la empresa de logística J.B. Hunt, el Departamento de Salud de Maryland, la Autoridad de Transporte Municipal de la Ciudad de Nueva York, las Escuelas de la Ciudad de Nueva York e incluso la propia Microsoft.

UpGuard descubrió por primera vez un portal de Electricity Applications que contenía una lista no segura con PII el 24 de mayoth. La empresa pasó a notificar al propietario de la aplicación y se protegieron los datos. Sin embargo, el caso planteó dudas sobre si había más portales que brindaran acceso a una gran cantidad de datos confidenciales mal protegidos. Un análisis encontró que había muchos portales de Electric power Applications que probablemente almacenaran información confidencial.

El 24 de junioth, la compañía notificó a Microsoft mediante la presentación de un informe de vulnerabilidad en su Centro de recursos de seguridad. Más allá de comunicarse con el gigante tecnológico de Redmond, UpGuard también notificó a las organizaciones que consideraban que tenían las exposiciones más graves.

Mientras tanto, en respuesta al incidente, Microsoft ha tomado medidas para remediar la situación al lanzar herramientas que permiten a los usuarios autodiagnosticar sus portales y habilitar Permisos de tabla de forma predeterminada, lo que limita el acceso a la lista de datos que un usuario puede ver.

Nada nuevo

Las bases de datos de acceso a World-wide-web mal configuradas y no seguras pueden considerarse un problema perenne durante el último año se han recibido informes de numerosos incidentes de este tipo. En un caso reciente, el exploraciones médicas de millones de pacientes fueron expuestos en línea, mientras que otra fuga de datos involucró los datos de millones de huéspedes del resort. Hace apenas unos días, el Centro de Detección de Terroristas (TSC) dirigido por el FBI dejó una lista de vigilancia secreta de terroristas sin seguridad en Online durante tres semanas.



Enlace a la noticia primary