Una configuración incorrecta de Microsoft Power Apps expone millones de registros de datos
Los cachés de datos disponibles públicamente incluían nombres, direcciones de correo electrónico y números de seguridad social.
Un total de 38 millones de registros almacenados en cientos de portales de Microsoft Power Apps se encontraron desprotegidos en Internet. El tesoro de datos incluía una variedad de información de identificación personal (PII), que iba desde nombres y direcciones de correo electrónico hasta números de seguridad social.
«Los tipos de datos variaron entre los portales, incluidos los datos personales utilizados para el seguimiento de contactos COVID-19, citas de vacunación COVID-19, números de seguro social para solicitantes de empleo, identificaciones de empleados y millones de nombres y direcciones de correo electrónico», dijo UpGuard en un blog. publicación que describe su descubrimiento.
Si los datos caen en las manos equivocadas, los ciberdelincuentes podrían usarlos para todo tipo de actividades ilegales, desde phishing y otros ataques de ingeniería social hasta el robo de identidad. Alternativamente, los datos podrían venderse en la web oscura.
Se descubrió que las múltiples fugas de datos descubiertas e informadas por los investigadores provienen de portales de Microsoft Power Apps configurados para acceso público. En lugar de dejar algunos tipos de datos como PII privados, la configuración incorrecta hizo que estuvieran disponibles públicamente. Por contexto, Microsoft Power Apps es una herramienta que permite a cualquier persona crear sitios web receptivos y permite a los usuarios, tanto internos como externos, acceder de forma segura a los datos de forma anónima o mediante proveedores de autenticación comerciales.
«En casos como las páginas de registro de vacunación COVID-19, hay tipos de datos que deben ser públicos, como la ubicación de los sitios de vacunación y los horarios de citas disponibles, y datos sensibles que deben ser privados, como la información personal de las personas vacunadas», explicó UpGuard. .
Un total de 47 instituciones, empresas y agencias gubernamentales de todo Estados Unidos se vieron afectadas. La lista incluye American Airlines, el fabricante de automóviles Ford, la empresa de logística JB Hunt, el Departamento de Salud de Maryland, la Autoridad de Transporte Municipal de la Ciudad de Nueva York, las Escuelas de la Ciudad de Nueva York e incluso la propia Microsoft.
UpGuard descubrió por primera vez un portal de Power Apps el 24 de mayo que contenía una lista no segura de PIINS. La empresa notificó al propietario de la aplicación y se realizó una copia de seguridad de los datos. Sin embargo, el caso plantea la cuestión de si hay más portales que ofrecen acceso a grandes cantidades de datos confidenciales mal protegidos. Un análisis mostró que es probable que muchos portales de Power Apps almacenen información confidencial.
24 de junioNS, informó la compañía a Microsoft mediante la presentación de un informe de vulnerabilidad en su Centro de recursos de seguridad. Además de comunicarse con el gigante tecnológico de Redmond, UpGuard también notificó a las organizaciones que creían que estaban en mayor riesgo.
Mientras tanto, en respuesta al incidente, Microsoft ha tomado medidas para corregir la situación al lanzar herramientas que permiten a los usuarios autodiagnosticar sus portales y, de forma predeterminada, habilitar permisos de tabla que restringen el acceso a la lista de datos, que un usuario puede ver. .
Las bases de datos mal configuradas y no seguras con acceso a Internet pueden verse como un problema permanente; Ha habido informes de numerosos incidentes de este tipo durante el año pasado. En uno de los casos más recientes, los escáneres médicos de millones de pacientes estuvieron expuestos en línea, mientras que otra fuga de datos afectó los datos de millones de huéspedes del hotel. Hace apenas unos días, el Centro de Detección de Terroristas (TSC) operado por el FBI dejó una lista de vigilancia secreta de terroristas sin seguridad en Internet durante tres semanas.
Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.
Las cookies estrictamente necesarias tiene que activarse siempre para que podamos guardar tus preferencias de ajustes de cookies.
Estas Cookies son:
Sesión de usuario
Comentarios
Seguridad
Aceptación de Cookies
Si desactivas esta cookie no podremos guardar tus preferencias. Esto significa que cada vez que visites esta web tendrás que activar o desactivar las cookies de nuevo.
