Verifique sus permisos: la configuración predeterminada en la herramienta de Microsoft expone 38 millones de registros de usuarios en línea

Se ha culpado a la configuración de permisos predeterminados en una herramienta de creación de aplicaciones de Microsoft por exponer los datos de 38 millones de personas en línea. La información, incluidos nombres, direcciones de correo electrónico, números de teléfono, números de seguro social y citas de vacunación COVID-19, fue inadvertidamente accesible al público por 47 empresas diferentes y entidades gubernamentales que utilizan la plataforma Power Apps de Microsoft. Sin embargo, no hay evidencia de que los datos estén siendo explotados y Microsoft ha solucionado el problema subyacente.

El problema fue descubierto originalmente en mayo por el equipo de investigación de seguridad UpGuard. En una publicación de blog reciente de UpGuard y en un informe de Cableado, la empresa explica cómo las organizaciones que utilizan Power Apps crearon aplicaciones con permisos de datos incorrectos.

“Encontramos uno de estos [apps] que estaba mal configurado para exponer datos y pensamos, nunca habíamos oído hablar de esto, ¿es algo único o es un problema sistémico? ” El vicepresidente de investigación cibernética de UpGuard, Greg Pollock, dijo Cableado. “Debido a la forma en que funciona el producto de portales de Power Apps, es muy fácil hacer una encuesta rápidamente. Y descubrimos que hay toneladas de estos expuestos. Fue salvaje “.

Power Apps permite a las empresas crear aplicaciones y sitios web sencillos sin experiencia formal en codificación. Las organizaciones implicadas en la violación, incluidas Ford, American Airlines, JB Hunt y agencias estatales en Maryland, la ciudad de Nueva York e Indiana, estaban utilizando el sitio para recopilar datos para diversos fines, incluida la organización de esfuerzos de vacunación. Power Apps ofrece herramientas para recopilar rápidamente el tipo de datos necesarios en estos proyectos, pero, de forma predeterminada, deja esta información accesible al público. Esta es la exposición que descubrió UpGuard.

Deberías leer:   Microsoft Surface Duo 2: cómo reservar

El mecanismo de esta ‘brecha’ en particular es interesante, ya que difumina la línea entre lo que es una vulnerabilidad de software y lo que es simplemente una mala elección en el diseño de la interfaz de usuario. UpGuard dice que la posición de Microsoft es que esto no fue una vulnerabilidad, ya que fue culpa de los usuarios por no configurar correctamente los permisos de las aplicaciones. Pero, posiblemente, si está creando una aplicación diseñada para ser utilizada por personas con poca experiencia en codificación, entonces hacer las cosas lo más seguras posible de forma predeterminada parece ser la decisión inteligente. Según lo informado por Cableado, Microsoft ahora ha cambiado la configuración de permisos predeterminada responsable de la exposición.

Las ultimas noticias de California, editadas por los corresponsales en California. Si quieres sumarte no dudes en contactarnos.