Hace una semana, se hacía público que un individuo 'no autorizado' había accedido a los datos personales de casi 750.000 habitantes del estado de Indiana (EE.UU.), que habían sido rastreados por COVID-19. La empresa de ciberseguridad UpGuard desvelaba poco después que sólo era un caso más entre docenas de entidades que habían visto sus datos expuestos, y a los que unía únicamente la plataforma que habían elegido para almacenarlos: Power Apps.
Según Greg Pollock, vicepresidente de UpGuard, uno de sus analistas
"notó cómo funcionaba la API [de Power Apps] y se dio cuenta de que al hacer llamadas directas a la misma, ésta devolvía datos que no deberían haber sido accesibles directamente".
En total, 47 entidades privadas y públicas vieron expuestos sus datos confidenciales (38 millones de registros en total) por culpa de una deficiente configuración de las Power Apps, la plataforma de programación low-code desarrollada por Microsoft con el objetivo de proporcionar un modo sencillo de crear y desplegar aplicaciones corporativas.
Concretamente, el problema residía en que la configuración por defecto era inadecuada para proteger los datos almacenados: ésta protegía de accesos indebidos a los datos almacenados en tablas, pero no a aquellos organizados en formato lista. Las organizaciones deberían haber alterado manualmente dicha configuración de acuerdo a su uso concreto de la plataforma, pero por una razón u otra no lo hicieron.
A UpGuard le costó poco trabajo, una vez descubierta la 'vulnerabilidad', comprobar la extensión del problema: las URLs a los portales corporativos de Power Apps están disponibles con tan sólo escribir 'site:powerappsportals.us' o 'site:powerappsportals.com' en Google.
Una vez localizadas las URLs, sólo hacía falta agregar "/_odata" al final de la misma y, en caso de que no hubieran ajustado adecuadamente su configuración, los datos se listarían inmediatamente en la pantalla del navegador.
No era un bug, era una funcionalidad
UpGuard comunicó el problema a Microsoft el 24 de junio, pero cinco días después los de Redmond cerraron la investigación, tras haber determinado que cabía considerar este comportamiento "parte del diseño de la aplicación". El típico 'It's not a bug, it's a feature', vamos.
Microsoft tiene un argumento que enarbolar en su favor: este comportamiento se mencionaba explícitamente en la documentación de las Power Apps:
"Para proteger una lista, debe configurar los Permisos de Tabla para la tabla cuyos registros está mostrando, así como establecer el valor de 'Enable Table Permission Boolean' en 'true'".
El propio Pollock, de hecho, reconoce que no estamos estrictamente ante una vulnerabilidad de software. Pero, en cualquier caso, había información confidencial en peligro, y la compañía se fue poniendo en contacto con las entidades afectadas (entre las que se encontraban American Airlines, Ford o varios departamentos estatales de los EE.UU.).
De todos modos, a lo largo del verano Microsoft decidió tomar cartas en el asunto: notificó el problema a las instituciones públicas, lanzó una herramienta para que sus clientes pudieran comprobar si sus listas permitían el acceso anónimo (es decir, en abierto) y cambió la configuración por defecto de los nuevos portales para que las listas de datos quedaran protegidas por defecto.
Por su parte, las declaraciones que nos ha hecho llegar Microsoft rezan así:
"Nuestros productos brindan a nuestros clientes funcionalidades de flexibilidad y privacidad para diseñar soluciones escalables que satisfagan una amplia variedad de necesidades. Nos tomamos muy en serio la seguridad y la privacidad, y alentamos a nuestros clientes a que utilicen las mejores prácticas a la hora de configurar los productos de la manera que mejor se adapten a sus necesidades de privacidad".
Vía | StateScoop
