La herramienta Microsoft Power Apps, expuso 38 millones de registros, por defecto

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

Un problema de configuración con la popular plataforma de desarrollo de Microsoft, Power Apps, ha expuesto decenas de millones de registros sensibles de clientes, incluidos los que contienen información COVID-19, según los investigadores.

Microsoft Power Apps permite a los “desarrolladores ciudadanos” crear aplicaciones móviles y basadas en la web para sus empresas.

Sin embargo, un equipo de UpGuard descubrió que el portal de la plataforma estaba configurado para permitir el acceso público en muchos casos, exponiendo al menos 38 millones de registros.

El problema proviene de las APIs del Protocolo de Datos Abiertos (OData) para recuperar datos de las listas de Power Apps. Esta es la configuración utilizada para “exponer los registros para su visualización en los portales”.

UpGuard informó que descubrió por primera vez el problema de privacidad en mayo. Sin embargo, después de asegurar a un cliente, se preguntó si otros tenían listas configuradas para ser accedidas anónimamente a través de las APIs de alimentación OData, exponiendo datos sensibles.

También, encontró más de mil listas accesibles de forma anónima en varios cientos de portales. Entre las organizaciones expuestas de este modo se encontraban American Airlines, Ford y múltiples entidades del sector público.

“Entre los ejemplos de datos sensibles expuestos a través de las API de OData se encontraban tres portales de Power Apps utilizados por entidades gubernamentales norteamericanas para el seguimiento del COVID-19 o la vacunación y un portal con datos de solicitantes de empleo que incluían los números de la Seguridad Social”, expresó UpGuard.

Microsoft respondió notificando el problema a los clientes gubernamentales y poniendo en marcha varias mitigaciones para reducir la probabilidad de una configuración errónea accidental.

Con información de: Genbeta.