Power Apps von Microsoft Der Portaldienst soll die Entwicklung von Web- oder mobilen Anwendungen erleichtern. bedauerlicherweise, aufgrund eines Hindernisses mit den Standard-Sicherheitseinstellungen, die Daten von 38 Millionen von Benutzern waren öffentlich verfügbar, wenn sie es nicht hätten sein sollen.
Was ist mit Microsoft Power Apps passiert??
Im Wesentlichen, die Microsoft Power Apps-Plattform standardmäßig Daten öffentlich zugänglich macht, anstatt Daten standardmäßig privat zu halten, Wie hast du das herausgefunden Vorhut und informiert von Verkabelung. bedauerlicherweise, Das bedeutete, dass jeder, der schnell eine Webanwendung mit diesen APIs starten wollte, die Sicherheit manuell aktivieren musste, statt umgekehrt.
“El equipo de investigación de UpGuard ahora puede revelar múltiples fugas de datos resultantes de los portales de Microsoft Power Apps configurados para permitir el acceso público, un nuevo vector de exposición de datos”, sagte Upguard in a Blogeintrag.
Microsoft Power Apps wird von einer Vielzahl von Unternehmen und Regierungsbehörden verwendet. Weil es schnell und einfach ist, ein Webportal oder eine Anwendung zu starten, wird ziemlich oft für COVID-19-Tools verwendet, wie Kontaktverfolgung, Formulare für Impfausweise, etc. Beliebt war die Plattform auch für die Speicherung von Bewerbungsportalen und Mitarbeiterdatenbanken..
Diese Tools könnten vertrauliche Benutzerdaten enthalten und überraschend viele von ihnen hatten keine aktivierten Sicherheitsmaßnahmen. Das bedeutet Daten wie Telefonnummern, die Adressen der Häuser, Die Sozialversicherungsnummern und der Covid-19-Impfstatus wurden jedem angezeigt, der danach suchte.
Nur einige Beispiele für betroffene Institutionen sind American Airlines, Ford, JB Jagd, das Gesundheitsministerium von Maryland, Städtische Verkehrsbehörde von New York City und öffentliche Schulen von New York City.
Gibt es eine Lösung?
Glücklicherweise, die situation war schon von Microsoft angesprochen. Das Unternehmen hat es nun so eingestellt, dass die Standardeinstellungen keine öffentliche Verfügbarkeit von API-Daten und anderen Informationen zulassen. Stattdessen, Entwickler müssen diese Einstellung manuell aktivieren, so hätte es wohl vom ersten tag an sein sollen.
Es wird immer Daten geben, die Entwickler öffentlich machen wollen, Daher müssen sie den zusätzlichen Schritt durchlaufen, die ausgewählten Daten verfügbar zu machen, anstatt sie zu verbergen.. Dies ist definitiv ein besserer Weg für Leute, die diese Web-Apps verwenden, da es ihnen ermöglicht, sicher zu sein, dass ihre privaten Daten vertraulich behandelt werden. Trotz dieses, der Schaden ist für diesen Fall angerichtet. Wir müssen die Konsequenzen abwarten, um zu sehen, wie schlimm es ist.
