Exhiben filtraciones de datos de portales que trabajan con Microsoft

Compartir parte de nuestros datos personales con algunos portales de internet es muy común. A cambio de recibir un servicios entregamos información confiando en que la compañía cuenta con la tecnología y los protocolos necesarios para resguardarla y solo la utilizará para lo que le dimos permiso. Pero desafortunadamente siempre existe la posibilidad de una falla y se ha dado a conocer que miles de portales que trabajan con el sistema de Microsoft han expuesto millones de registros confidenciales.

De acuerdo con investigadores de la empresa de seguridad Upguard, alrededor de 38 millones de registros, provenientes de mil aplicaciones web que utilizan la plataforma de portales Power Apps de Microsoft, quedaron expuestos en línea.

Se dice que los registros están llenos de información muy sensible, por ejemplo, contiene el rastreo de contactos de COVID-19, registros de vacunas y bases de datos de empleados que incluyen domicilios, números de teléfono y hasta números de seguro social.

Según el reporte los datos de algunas grandes empresas e instituciones quedaron expuestos en el incidente. El medio Wired afirma que entre las compañías afectadas están American Airlines, Ford, el Departamento de Salud de Indiana y las escuelas públicas de la ciudad de Nueva York. Además, entre la información más confidencial que se dejó a la vista se encuentran 332 mil direcciones de correo electrónico e identificaciones de empleados de Microsoft que se utilizan para la nómina.

Los investigadores de Upguard comenzaron a investigar el problema en mayo y desde entonces advirtieron que los datos de muchos portales de Power Apps, que se suponía que eran privados, estaban disponibles para que cualquiera pudiera acceder si sabía dónde buscar.

Vale la pena explicar que el servicio Power Apps tiene como objetivo facilitar a los clientes la creación de sus propias aplicaciones web y móviles. El sistema ofrece interfaces de programación de aplicaciones (API) para que los desarrolladores las utilicen con los datos que recopilan. Sin embargo, Upguard descubrió que el uso de esas API hace que los datos obtenidos a través de los portales de Power Apps sean públicos de forma predeterminada, y se requería una reconfiguración manual para mantener la información privada.

La respuesta

Upguard afirmó que envió un informe de vulnerabilidad al Centro de recursos de seguridad de Microsoft el pasado 24 de junio, incluidos enlaces a las cuentas de los portales de Power Apps en las que se expusieron datos confidenciales y los pasos para identificar las API que permitieron el acceso anónimo a los datos.

A partir de entonces los especialistas trabajaron con Microsoft para aclarar el problema. Sin embargo, aseguró Upguard, un analista de Microsoft les dijo, el 29 de junio, que el caso estaba cerrado y que “determinaron que ese comportamiento se considera por diseño”.

Ante la respuesta Upguard comenzó a notificar a algunas de las empresas y organizaciones afectadas, que se movieron para bloquear sus datos. Posteriormente presentó un informe ante Microsoft el 15 de julio. Y, para el 19 de julio, la compañía dio a conocer que la mayoría de los datos de los portales de Power Apps afectados, incluida la información más confidencial, se habían hecho privada y que la vulnerabilidad se ha resuelto en su mayor parte.

Sobre el tema Microsoft declaró a Engadget: “Nuestros productos brindan a los clientes características de flexibilidad y privacidad para diseñar soluciones escalables que satisfagan una amplia variedad de necesidades. Nos tomamos en serio la seguridad y la privacidad, y alentamos a nuestros clientes a utilizar mejor prácticas al configurar productos de la mejor manera que se adapten a sus necesidades de privacidad”.

Asimismo, a principios de este mes, Microsoft dijo que las aplicaciones de los portales de Power Apps mantendrán los datos privados de forma predeterminada cuando los desarrolladores aprovechen las API. Además, lanzó una herramienta para que los desarrolladores verifiquen su configuración.

Finalmente vale la pena aclarar que todavía no hay indicios de que algunos de los datos expuestos hayan sido utilizados con propósitos maliciosos. Aun así el caso demuestra que los desarrolladores deben verificar con cuidado su configuración, especialmente cuando conectan una API que no han diseñado ellos mismos.7

Con información de El Siglo de Torreón