Casi 38 millones de registros médicos en Internet, incluyendo de vacunación contra el COVID-19, quedaron expuestos. ¿La causa? Un error de configuración en un portal de Microsoft, el Power Apps.
Este portal sirve como plataforma de desarrollo para la creación de aplicaciones web o móviles de uso externo.
Entre las compañías afectadas están American Airlines, Ford, JB Hunt y el Departamento de Salud de Maryland. Tampoco se salvaron la Autoridad Municipal de Transporte de la Ciudad de Nueva York, así como las escuelas públicas, de acuerdo con Wired.
La firma de seguridad Upguard descubrió el fallo. “Debido a la forma en que funciona el producto de portales de Power Apps, es muy fácil hallar los datos expuestos”, señaló Greg Pollock, vicepresidente de investigación cibernética de UpgGuard.
“Descubrimos que había toneladas de datos expuestos. Era salvaje”, recalcó el ejecutivo.
Así se investigó el fallo de configuración en el portal de Microsoft
Desde mayo de este año, los investigadores analizaron varios portales de Power Apps que expusieron públicamente datos privados. Números de teléfonos, direcciones de los hogares, números de seguro social y el estado de vacunación contra el COVID-19, entre otros, quedaron a disposición del que quisiera tomarlos.
No obstante, se desconoce si alguno de los datos fue objetivo de algún hacker.
Luego de descubrirse el inconveniente, se solucionó, según Upguard.
Explicaremos, paso a paso, cómo ocurrió el problema:
- La plataforma Power Apps de Microsoft proporciona interfaces de programación de aplicaciones listas para interactuar con datos de administradores.
- Al habilitar las API (Application Program Interface) la plataforma, por defecto, hacía que los datos correspondientes fueran accesibles a todo público.
Muchos clientes configuraron mal las aplicaciones, al no proteger los datos. El 24 de junio pasado, UpGuard presentó un informe de vulnerabilidad al Centro de recursos de seguridad de Microsoft. En este informe se incluyó los pasos para identificar las fuentes de OData que permitían el acceso anónimo a los datos de la lista y las direcciones URL de las cuentas que exponían datos confidenciales.
Prevención, ante todo
Wired recuerda que la mala configuración de las bases de datos en la nube ha sido un problema grave. Amazon Web Services, Google Cloud Platform y Microsoft Azure han tenido que tomar medidas para almacenera los datos de los clientes de forma privada predeterminadamente.
Para las primeras semanas de julio, los datos expuestos por Power App ya estaban asegurados.
Microsoft, de acuerdo con UpGuard, indicó que el problema no era una vulnerabilidad de software, sino de plataforma. Era necesario que se realizaran cambios de código en el producto.
“En última instancia”, señala UpGuard, “Microsoft ha hecho lo mejor que puede, que es habilitar los permisos de tabla de forma predeterminada y proporcionar herramientas para ayudar a los usuarios de Power Apps a autodiagnosticar sus portales”.