Microsoft Power Apps es un conjunto de herramientas y servicios, así como una plataforma central de datos, que proporciona un entorno de desarrollo rápido para que las organizaciones creen aplicaciones personalizadas que se adapten a sus necesidades particulares. Los portales de Power Apps son una forma de crear sitios web públicos que dan acceso a los datos a usuarios internos y externos.
Según la empresa de seguridad Upguard, la configuración predeterminada de los portales Power Apps de Microsoft ha propiciado varias filtraciones de datos, con 38 millones de registros de 47 entidades, entre ellas organismos gubernamentales y empresas, que se han hecho públicos por error.
Upguard escribe que el tipo de datos expuestos varía según el portal, e incluye información sensible utilizada para el rastreo de contactos de COVID-19, citas para vacunación y números de la seguridad social estadounidense. Los datos expuestos también incluyen nombres y direcciones de correo electrónico.
Entre las entidades que se han visto afectadas por las filtraciones se encuentran organismos gubernamentales estadounidenses como Indiana, Maryland y la ciudad de Nueva York, así como empresas privadas como American Airlines y la propia Microsoft.
“Aunque entendemos y estamos de acuerdo con la posición de Microsoft de que el problema aquí no es estrictamente una vulnerabilidad de software, es un problema de plataforma que requiere cambios de código en el producto, y por lo tanto debería ir en el mismo flujo de trabajo que las vulnerabilidades”, dice Upguard.
El problema radica en las API del Protocolo de Datos Abiertos (OData), que recupera datos de las listas de Power Apps que, a su vez, extraen datos de las tablas y limitan el acceso a los datos de la lista que un usuario puede ver en función de los permisos de la tabla.
La documentación del producto para Power Apps describe las condiciones bajo las cuales las APIs OData pueden ser accesibles al público, con material de marketing que sugiere que las organizaciones pueden acceder a sus datos de forma anónima o a través de la autenticación comercial.
Upguard identificó por primera vez este problema el 24 de mayo y realizó algunos análisis para determinar la gravedad del mismo. Posteriormente, la empresa de seguridad presentó un reporte de vulnerabilidad a Microsoft el 24 de junio, en el que se incluían los pasos para identificar las fuentes OData que permitían el acceso anónimo a los datos de la lista, y las URL de las cuentas que exponían información sensible.
Ilustración: captura, sitio de Microsoft Power Apps.