in

Una configuración incorrecta de Microsoft Power Apps expone millones de registros de datos


Los cachés de datos disponibles públicamente incluían nombres, direcciones de correo electrónico y números de seguridad social.

Un total de 38 millones de registros almacenados en cientos de portales de Microsoft Power Apps se encontraron desprotegidos en Internet. El tesoro de datos incluía una variedad de información de identificación personal (PII), que iba desde nombres y direcciones de correo electrónico hasta números de seguridad social.

«Los tipos de datos variaron entre los portales, incluidos los datos personales utilizados para el seguimiento de contactos COVID-19, citas de vacunación COVID-19, números de seguro social para solicitantes de empleo, identificaciones de empleados y millones de nombres y direcciones de correo electrónico», dijo UpGuard en un blog. publicación que describe su descubrimiento.

Si los datos caen en las manos equivocadas, los ciberdelincuentes podrían usarlos para todo tipo de actividades ilegales, desde phishing y otros ataques de ingeniería social hasta el robo de identidad. Alternativamente, los datos podrían venderse en la web oscura.

Se descubrió que las múltiples fugas de datos descubiertas e informadas por los investigadores provienen de portales de Microsoft Power Apps configurados para acceso público. En lugar de dejar algunos tipos de datos como PII privados, la configuración incorrecta hizo que estuvieran disponibles públicamente. Por contexto, Microsoft Power Apps es una herramienta que permite a cualquier persona crear sitios web receptivos y permite a los usuarios, tanto internos como externos, acceder de forma segura a los datos de forma anónima o mediante proveedores de autenticación comerciales.

«En casos como las páginas de registro de vacunación COVID-19, hay tipos de datos que deben ser públicos, como la ubicación de los sitios de vacunación y los horarios de citas disponibles, y datos sensibles que deben ser privados, como la información personal de las personas vacunadas», explicó UpGuard. .

Un total de 47 instituciones, empresas y agencias gubernamentales de todo Estados Unidos se vieron afectadas. La lista incluye American Airlines, el fabricante de automóviles Ford, la empresa de logística JB Hunt, el Departamento de Salud de Maryland, la Autoridad de Transporte Municipal de la Ciudad de Nueva York, las Escuelas de la Ciudad de Nueva York e incluso la propia Microsoft.

UpGuard descubrió por primera vez un portal de Power Apps el 24 de mayo que contenía una lista no segura de PIINS. La empresa notificó al propietario de la aplicación y se realizó una copia de seguridad de los datos. Sin embargo, el caso plantea la cuestión de si hay más portales que ofrecen acceso a grandes cantidades de datos confidenciales mal protegidos. Un análisis mostró que es probable que muchos portales de Power Apps almacenen información confidencial.

24 de junioNS, informó la compañía a Microsoft mediante la presentación de un informe de vulnerabilidad en su Centro de recursos de seguridad. Además de comunicarse con el gigante tecnológico de Redmond, UpGuard también notificó a las organizaciones que creían que estaban en mayor riesgo.

Mientras tanto, en respuesta al incidente, Microsoft ha tomado medidas para corregir la situación al lanzar herramientas que permiten a los usuarios autodiagnosticar sus portales y, de forma predeterminada, habilitar permisos de tabla que restringen el acceso a la lista de datos, que un usuario puede ver. .

Nada nuevo

Las bases de datos mal configuradas y no seguras con acceso a Internet pueden verse como un problema permanente; Ha habido informes de numerosos incidentes de este tipo durante el año pasado. En uno de los casos más recientes, los escáneres médicos de millones de pacientes estuvieron expuestos en línea, mientras que otra fuga de datos afectó los datos de millones de huéspedes del hotel. Hace apenas unos días, el Centro de Detección de Terroristas (TSC) operado por el FBI dejó una lista de vigilancia secreta de terroristas sin seguridad en Internet durante tres semanas.

What do you think?

Written by Alan Kim

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

Los piratas informáticos están robando casi $ 100 millones del principal intercambio de criptomonedas

Cómo una nueva integración de HackerOne con AWS Security Hub acelera el tiempo necesario para corregir las vulnerabilidades