La empresa CloudSEK ha descubierto un grave incidente de exposición de datos en el sector de la aviación. El incidente reveló que más de 50.000 registros de usuarios de Microsoft Azure AD eran de acceso público debido a un endpoint de API mal configurado y sin autenticar, incrustado en un archivo JavaScript.
La vulnerabilidad se originó en un paquete de JavaScript que contenía un endpoint codificado que emitía un token de API de Microsoft Graph sin requerir autenticación. Este token tenía permisos excesivos: User.Read.All y AccessReview.Read.All.
"Este endpoint emitió un token de API de Microsoft Graph con permisos excesivos, generalmente restringidos debido a su capacidad para acceder a perfiles de usuario completos y datos críticos de gobernanza de identidad", afirma el informe.
Usando este token, los atacantes podrían recuperar una amplia gama de datos confidenciales de Microsoft Graph, incluyendo:
- Nombres y cargos de empleados
- Direcciones de correo electrónico y datos de contacto
- Jerarquía organizacional
- Configuraciones de revisión de acceso
- Perfiles de liderazgo ejecutivo
Este tipo de acceso no autorizado no solo supone graves violaciones de la privacidad, sino que también crea una vía directa para el robo de identidad, la escalamiento de privilegios y ataques de phishing dirigidos a personal de alto nivel.
El punto de conexión de la API expuesto devolvía datos en tiempo real de más de 50.000 usuarios de Azure AD e incluso seguía entregando información a los nuevos usuarios. "Se pudo acceder a los datos asociados a más de 50.000 usuarios... Entre la información expuesta se encontraban identificadores personales, nombres principales de usuario, asignaciones de roles de acceso y otros detalles de gobernanza".
Esta exposición amplía drásticamente la superficie de ataque y presenta graves riesgos regulatorios según las leyes de privacidad como el RGPD y la CCPA. "La exposición de información personal identificable sin las medidas de seguridad adecuadas plantea serias preocupaciones de cumplimiento normativo", enfatizó CloudSEK.
Las organizaciones, especialmente aquellas en sectores de infraestructura crítica como la aviación, deben reevaluar la gestión de tokens sensibles en las aplicaciones front-end. Garantizar una gestión estricta del alcance de los tokens, la autenticación de API y la revisión de secretos a nivel de código puede mitigar riesgos similares.
Soluciones recomendadas
- Deshabilitar el acceso público a la API: Restringir el punto de conexión vulnerable y aplicar controles de autenticación estrictos.
- Revocar tokens comprometidos: Invalidar los tokens expuestos y rotar las credenciales afectadas.
- Aplicar privilegios mínimos: Revisar y limitar el alcance de los tokens a lo estrictamente necesario.
- Supervisar el uso de la API: Implementar registros y alertas para detectar actividad anormal en Microsoft Graph.
- Proteger el código front-end: Evitar la incrustación de puntos de conexión sensibles o lógica de tokens en scripts del lado del cliente.
- Revisar permisos y roles: Auditar todos los roles de Azure AD y las revisiones de acceso para eliminar el exceso de permisos.
- Implementar la limitación de velocidad: Proteger los puntos de conexión de la API con controles de velocidad y detección de anomalías.
Fuente: SecurityOnline