Imagen: Microsoft

La falta de una configuración de seguridad adecuada con Power Apps de Microsoft provocó la exposición de datos de unos 38 millones de registros, según la firma de seguridad UpGuard. En un informe del lunes, UpGuard dijo que la configuración incorrecta de la plataforma de desarrollo de código bajo reveló información como el seguimiento de contactos de COVID-19, citas de vacunación, números de seguro social de solicitantes de empleo, identificaciones de empleados y millones de nombres y direcciones de correo electrónico.

Entre las organizaciones cuyos datos quedaron expuestos se encontraban agencias gubernamentales de Indiana, Maryland y Nueva York, así como empresas privadas como American Airlines, JB Hunt e incluso la propia Microsoft.

VER: Business Leader as Developer: The Rise of No-Code and Low-Code Software (PDF gratuito) (República Tecnológica)

Microsoft Power Apps es una herramienta de desarrollo de código bajo diseñada para ayudar a las personas con poca experiencia en programación a crear aplicaciones web y móviles para sus organizaciones. Como parte del proceso, Microsoft permite a los clientes configurar los portales de Power Apps como sitios web públicos para brindar a los usuarios internos y externos un acceso seguro a los datos requeridos. Y ahí está el quid del problema de la seguridad.

Para autorizar el acceso a los datos, Power Apps utiliza una API de protocolo de datos abiertos (OData). La API recupera datos de listas de Power Apps, que extraen datos de tablas en una base de datos. Sin embargo, el acceso a las tablas de datos se había configurado como público de forma predeterminada. Para controlar quién puede recuperar datos, se esperaba que los clientes configuraran y habilitaran activamente una configuración de permisos de tabla. Y aparentemente muchos no lo hicieron, permitiendo así que cualquier usuario anónimo tuviera libre acceso a los datos.

Como explica Microsoft en un documento técnico sobre las listas en Power Apps: "Para asegurar una lista, debe configurar los permisos de tabla para la tabla para la que se muestran los registros y también establecer el valor booleano Habilitar permisos de tabla para listar registro en verdadero". El documento también advierte: "Tenga cuidado al habilitar fuentes de OData sin permisos de tabla para información confidencial. Se puede acceder a la fuente de OData de forma anónima y sin permiso para verificar si Habilitar permisos de tabla está deshabilitado.

Ciertamente, las configuraciones incorrectas y los errores de los usuarios son una causa común de los problemas de seguridad. Pero a medida que los proveedores impulsan productos de desarrollo de código bajo y sin código para clientes no técnicos, aumenta la posibilidad de errores. Esto es especialmente cierto a medida que las organizaciones recurren cada vez más a la nube para configurar aplicaciones y acceder a datos.

"La fiebre de la nube ha expuesto la inexperiencia de muchas organizaciones con diferentes plataformas de nube y los riesgos asociados con sus configuraciones predeterminadas", dijo Chris Clements, vicepresidente de Cerberus Sentinel Solutions Architecture. "Desarrollar en una nube pública puede tener beneficios en términos de eficiencia y escalabilidad, pero también suele eliminar la 'red de seguridad' del desarrollo que se realiza dentro de las redes internas protegidas por el acceso externo a través del cortafuegos: el fuego del perímetro".

VER: Una descripción general de Power Platform Process Advisor de Microsoft (República Tecnológica)

Luego de su investigación inicial que comenzó el 24 de mayo de 2021, UpGuard dijo que envió un informe de vulnerabilidad al Centro de recursos de seguridad de Microsoft un mes después, el 24 de junio. El informe contenía los pasos necesarios para identificar las fuentes de OData que permitían el acceso anónimo a la lista de datos y direcciones URL. para las cuentas que expusieron datos confidenciales.

En respuesta, Microsoft cerró el caso el 29 de junio, y un analista de la compañía le dijo a UpGuard que había "determinado que este comportamiento se consideró intencional". Después de más ida y vuelta entre UpGuard y Microsoft, se notificó a algunas de las organizaciones afectadas sobre el problema de seguridad. En última instancia, Microsoft realizó cambios en los portales de Power Apps para que los permisos de las tablas ahora estén habilitados de forma predeterminada. La compañía también lanzó una herramienta para ayudar a los clientes de Power Apps a verificar su configuración de permisos.

Un portavoz de Microsoft dijo que solo un pequeño subconjunto de clientes ha configurado el portal como se describe en el informe de UpGuard, y que Microsoft está trabajando en estrecha colaboración con esos clientes para garantizar que estén usando la configuración de confidencialidad adecuada. El portavoz agregó que los clientes son notificados de la disponibilidad de la transmisión pública cuando se descubren para que puedan revisar y corregir si es necesario. Además, el principal diseñador de portales de Microsoft, Design Studio, utiliza configuraciones de privacidad sólidas de manera predeterminada, según la compañía, que dijo que se está asegurando de que las herramientas de diseño alternativas usen configuraciones de privacidad sólidas de manera predeterminada, parámetros fuertes similares.

"Si bien entendemos (y aceptamos) la posición de Microsoft de que el problema aquí no es estrictamente una vulnerabilidad de software, es un problema de plataforma que requiere cambios en el código del producto y, por lo tanto, debe seguir el mismo flujo de trabajo que las vulnerabilidades", dijo UpGuard en su reporte. "Es una mejor resolución cambiar el producto en respuesta a los comportamientos observados de los usuarios que etiquetar la pérdida sistémica de la privacidad de los datos como una mala configuración del usuario final, lo que permite que el problema persista y exponga a los usuarios finales al riesgo de ciberseguridad de una filtración de datos.