Microsoft Power Apps: dane 38 milionów użytkowników dostępne publicznie
Usługa Microsoft Power Apps została zaprojektowana w celu ułatwienia tworzenia aplikacji internetowych lub mobilnych. Problem z domyślnymi ustawieniami zabezpieczeń sprawił, że dane 38 milionów użytkowników tych produktów były dostępne publicznie.
Tym razem wystawienie danych użytkowników aplikacji na widok publiczny nie było efektem wykorzystania przez hakerów niezałatanej podatności na tego typu działania, a przez problem z ustawieniami na platformie Microsoft Power Apps. Domyślnie udostępniała ona dane publicznie, zamiast utrzymać ich prywatność. Oznaczało to, że każdy, kto chciał stworzyć aplikację stworzoną przy pomocy narzędzi udostępnionych w ramach usługi giganta z Redmond, musiał sam ręcznie włączyć takie zabezpieczenia.
Zobacz: Office 365 będzie droższy. Microsoft podwyższa ceny pakietów dla firm
Zobacz: Microsoft wstrzymuje nową usługę. Zabrakło serwerów
Zespół badawczy UpGuard może teraz ujawnić wiele wycieków danych pochodzących z portali Microsoft Power Apps skonfigurowanych tak, aby umożliwić publiczny dostęp - to nowy wektor ekspozycji danych.
– napisali na swoim blogu odkrywcy problemu
Jeśli dodamy do tego fakt, że usługa Microsoft Power Apps jest używana przez wiele firm i instytucji rządowych do szybkiego i prostego stworzenia strony internetowej czy aplikacji, może to doprowadzić do udostępnienia całemu światu danych, które tam nigdy nie powinny trafić. Tak się stało z informacjami należącymi do 38 milionów użytkowników. Platforma Microsoftu była wykorzystywana na przykład do stworzenia przeróżnych narzędzi związanych z pandemią COVID-19 i szczepieniem przeciwko koronawirusowi SARS-Cov-2 czy przechowywania danych o pracownikach. Ci ostatni raczej nie byliby zadowoleni wiedząc, że ich dane nie są w należyty sposób (a w zasadzie w jakikolwiek sposób) zabezpieczone przed dostępem niepowołanych do tego osób.
O jakich danych w ogóle mowa? Przez złe ustawienie zasad bezpieczeństwa, publicznie dostępne były na przykład takie informacje, jak numery telefonów, adresy domowe, numery ubezpieczenia społecznego czy status szczepienia przeciw koronawirusowi. Zobaczyć je mógł każdy, kto ich poszukał. Wśród organizacji, które zostały dotknięte problemem są między innymi linie lotnicze American Airlines, firma Ford, Departament Zdrowia Maryland czy szkoły publiczne w Nowym Jorku.
Microsoft zmienił ustawienie domyślne
Firma Microsoft odebrała zgłoszenie o opisanym powyżej problemie i dokonała zmiany domyślnych ustawień na swojej platformie. Obecnie ustawienia domyślne Power Apps nie zezwalają na publiczny dostęp do danych, chyba że twórca aplikacji ustawi taką opcję ręcznie. Tak powinno to działać zawsze, ale było inaczej.
Zobacz: Krytyczny błąd Razer Synapse pozwala uzyskać uprawnienia systemowe
Zobacz: CERT Polska ostrzega przed podróbką aplikacji mObywatel
