Actualmente, millones de registros confidenciales y datos personales están expuestos en la web abierta, debido a controles de acceso faltantes o mal configurados en sitios web creados con Microsoft Power Pages.
Power Pages, nacida en 2022 de PowerApps Portals, es la plataforma de creación de sitios web low-code de Microsoft. Se utiliza comúnmente para diseñar sitios externos, como portales de empleados y minoristas, o sitios de registro o gestión de eventos. En el momento en que se hizo público, Microsoft alardeó que ya atiende a más de 100 millones de usuarios activos mensuales de sitios web, en industrias tan diversas como alta tecnología y atención médica, educación, finanzas, manufactura y gobierno.
Además de su conjunto de herramientas y funciones sencillas de arrastrar y soltar, Power Pages está equipado con controles de acceso basados en roles, que los desarrolladores pueden usar para definir a qué datos puede acceder cualquier usuario determinado. Pero como descubrió recientemente Aaron Costello, gerente de investigación de seguridad de software como servicio (SaaS) en AppOmni, muchos sitios simplemente no implementan estos controles adecuadamente, si es que lo hacen.
Resultado: grandes cantidades de información confidencial, proveniente de sitios en la Web, son disponible ahora a quien quiera buscarlo.
Páginas de feeds mal configuradas
Los sitios de Power Pages utilizan la base de datos relacional basada en la nube de Microsoft, Dataverse, para almacenar datos estructurados. Para proteger estos datos, los desarrolladores pueden utilizar varios controles de acceso.
La primera y más obvia es la configuración a nivel de sitio, que define si los usuarios deben autenticar y registrar cuentas en un sitio y cómo.
El siguiente nivel son los controles a nivel de tabla. Con estos, los administradores del sitio pueden definir qué tipos de usuarios pueden realizar qué acciones y en qué datos.
Los controles de acceso más detallados de Power Pages se aplican en el nivel de columna de Dataverse. Una herramienta notable que ofrece Power Pages en este nivel es el “enmascaramiento”, donde los administradores del sitio pueden ocultar ciertas categorías de datos, como los primeros cinco dígitos de los números de seguridad social que figuran en una columna determinada.
El problema es que los administradores no siempre utilizan estos tres niveles de control de acceso, si es que los utilizan. Como resultado, acceder a los datos de sus sitios es “muy, muy trivial”, afirma Costello. “Una vez que entiendas [what’s going on]simplemente vaya a estas URL”.
“En general, en lugar de darle a alguien la posibilidad de ver sus propios datos, se le otorga la posibilidad de ver todos los datos. Como resultado, cantidades excesivas de información, a menudo sensible, quedan expuestas a cada usuario”. explica.
Algunos sitios incluso otorgan a los usuarios anónimos “acceso global” para leer datos de tablas, por ejemplo, y ningún sitio web que Costello estudió en su investigación implementó algún tipo de seguridad a nivel de columna. Otros sitios limitan algunos datos a los usuarios autenticados, pero socavan esta protección al permitir que cualquier persona de la web se registre y se autentique.
Costello solo encuestó sitios web alojados por organizaciones con políticas de divulgación de seguridad cibernética, aquellos que podrían estar más abiertos a escuchar sobre su falta de seguridad. Incluso con esta limitación, finalmente descubrió entre 5 y 7 millones de registros expuestos de una amplia gama de sitios web de Power Pages.
Por ejemplo, un gran proveedor de servicios empresariales reveló información personal de 1,1 millones de empleados del Servicio Nacional de Salud (NHS) del Reino Unido. Los datos incluían números de teléfono, direcciones de correo electrónico, direcciones particulares de los empleados y más.
Un problema que afecta a toda la industria
Como Costello se apresura a señalar: “En investigaciones anteriores, he analizado exactamente el mismo tipo de problema en otras plataformas SaaS populares, como Salesforce, Servicio ahoraY NetSuite. Y todas estas son plataformas que tienen diferentes casos de uso. No diría que esto sea de ninguna manera un problema exclusivo de Power Pages. Esto no depende del producto en sí, sino de una mala comprensión de sus controles de acceso. »
Cuando se trata de advertir a los usuarios sobre minas terrestres, Power Pages lo hace bastante bien. “Cuando configuras mal los datos para que sean accesibles para todos, verás aparecer carteles de advertencia en tu página en diferentes lugares”, agrega Costello, “por lo que Microsoft realmente está haciendo todo lo posible para que las organizaciones sean conscientes de que lo que hacen es peligroso. . Sin embargo, las organizaciones optan por ignorar las señales de advertencia. »
Aparte de la negligencia, la frecuencia de las configuraciones erróneas de Power Pages podría, en teoría, explicarse por la demografía de su audiencia. Por su naturaleza, las plataformas con o sin código son más atractivas para los usuarios menos técnicos, que pueden estar menos familiarizados con las cuestiones de ciberseguridad.
“Si no eres un técnico y simplemente arrastras y sueltas botones y formularios para diseñar una página, es posible que no seas el tipo de persona que entiende qué controles de acceso son necesarios”, dice Costello. . O tal vez la facilidad de diseñar un sitio con poco o ningún código podría aliviar las partes analíticas más cautelosas del cerebro. “Las plataformas de código bajo generalmente dan una falsa sensación de seguridad”, afirma.
Dark Reading se ha puesto en contacto con Microsoft para comentar sobre esta historia.
No te pierdas el próximo gratis Evento virtual de lectura oscura“Conozca a su enemigo: comprenda a los ciberdelincuentes y los actores estatales de amenazas”, 14 de noviembre a las 11 a. m., hora del Este. No te pierdas las sesiones sobre cómo entender MITRE ATT&CK, cómo utilizar la seguridad proactiva como arma y una clase magistral sobre respuesta a incidentes; y una gran cantidad de oradores de primer nivel como Larry Larsen de Navy Credit Federal Union, el ex analista de Kaspersky Lab Costin Raiu, Ben Read de Mandiant Intelligence, Rob Lee de SANS y Elvia Finalle de Omdia. Regístrate ahora!