38 millones de datos de usuario expuestos por Microsoft Power Apps

Foto de VDB / Shutterstock.com

El servicio Power Apps Portal de Microsoft está diseñado para facilitarle el desarrollo de aplicaciones web o móviles. Desafortunadamente, debido a un problema con la configuración de seguridad predeterminada, los datos de 38 millones de usuarios estaban disponibles públicamente cuando no deberían haberlo estado.

Índice de contenidos()

    ¿Qué pasó con Microsoft Power Apps?

    Esencialmente, la plataforma Microsoft Power Apps de forma predeterminada hizo que los datos fueran accesibles al público en lugar de mantenerlos privados de forma predeterminada, como lo descubrió Upguard y lo informó Wired. Desafortunadamente, esto significaba que cualquiera que buscara poner en marcha rápidamente una aplicación web con estas API tendría que habilitar la seguridad manualmente, en lugar de al revés.

    "El equipo de investigación de UpGuard ahora puede revelar más filtraciones de datos resultantes de los portales de Microsoft Power Apps configurados para permitir el acceso público, un nuevo vector de exposición de datos", dijo Upguard en una publicación de blog.

    Microsoft Power Apps es utilizado por una amplia gama de empresas y gobiernos. Debido a que es rápido y fácil iniciar un sitio web o una aplicación, se ha utilizado con bastante frecuencia para herramientas COVID-19 como rastreo de contactos, formularios de registro de vacunas, etc. La plataforma también fue popular para archivar portales de solicitudes de empleo y bases de datos de empleados.

    Estas herramientas podrían contener datos confidenciales de los usuarios y una gran cantidad de ellas no tenían medidas de seguridad. Esto significa que los datos como números de teléfono, domicilios, números de seguro social y estado de vacunación contra Covid-19 han sido expuestos a cualquiera que los busque.

    Solo algunos ejemplos de organizaciones afectadas son American Airlines, Ford, JB Hunt, el Departamento de Salud de Maryland, la Autoridad de Transporte Municipal de la ciudad de Nueva York y las escuelas públicas de la ciudad de Nueva York.

    ¿Hay una solucion?

    Afortunadamente, Microsoft ya ha abordado la situación. La compañía ahora se ha asegurado de que la configuración predeterminada no permita la disponibilidad pública de datos de API y otra información. En cambio, los desarrolladores tendrán que habilitar esta configuración manualmente, que es probablemente como debería haber sido desde el primer día.

    Siempre habrá datos que los desarrolladores quieren que sean públicos, por lo que tendrán que pasar por el paso adicional de hacer que los datos seleccionados estén disponibles en lugar de hacer un esfuerzo adicional para ocultarlos. Esta es definitivamente una mejor manera para las personas que usan estas aplicaciones web, ya que les permite asegurarse de que sus datos privados se mantengan confidenciales. Sin embargo, en este caso el daño está hecho. Tendremos que esperar a la recaída para ver qué tan grave es.

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir