Power Apps de Microsoft Le service de portail est conçu pour faciliter le développement d'applications web ou mobiles. Malheureusement, en raison d'un obstacle avec les paramètres de sécurité par défaut, les données de 38 des millions d'utilisateurs étaient accessibles au public alors qu'ils n'auraient pas dû l'être.
Qu'est-il arrivé à Microsoft Power Apps?
Essentiellement, la plate-forme Microsoft Power Apps par défaut rend les données accessibles au public au lieu de garder les données privées par défaut, comment avez-vous trouvé Upguard et informé par Câblage. Malheureusement, cela signifiait que toute personne souhaitant lancer rapidement une application Web avec ces API devrait activer manuellement la sécurité, au lieu de l'inverse.
“L’équipe de recherche UpGuard peut maintenant révéler plusieurs fuites de données résultant de portails Microsoft Power Apps configurés pour permettre l’accès public, un nouveau vecteur d’exposition des données”, a déclaré Upguard dans un article de blog.
Microsoft Power Apps est utilisé par un large éventail d'entreprises et d'agences gouvernementales. Parce qu'il est simple et rapide de lancer un portail web ou une application, utilisé assez souvent pour les outils COVID-19, comme la recherche de contacts, formulaires de carnet de vaccination, etc. La plate-forme était également populaire pour stocker des portails de candidatures et des bases de données de travailleurs..
Ces outils pouvaient contenir des données utilisateur confidentielles et un nombre surprenant d'entre eux n'avaient pas de mesures de sécurité activées. Cela signifie des données comme des numéros de téléphone, les adresses des maisons, Les numéros de sécurité sociale et le statut de vaccination Covid-19 ont été exposés à quiconque les recherchait.
Quelques exemples d'institutions touchées sont American Airlines, Gué, JB Chasse, le ministère de la Santé du Maryland, Autorité municipale des transports de la ville de New York et écoles publiques de la ville de New York.
Y a-t-il une solution?
Par chance, la situation a déjà été approché par Microsoft. La société a maintenant fait en sorte que les paramètres par défaut ne permettent pas aux données API et autres informations d'être accessibles au public. En échange, les développeurs devront activer ce paramètre manuellement, c'est probablement comme ça que ça aurait dû être dès le premier jour.
Il y aura toujours des données que les développeurs voudront rendre publiques, ils devront donc passer par l'étape supplémentaire consistant à rendre les données sélectionnées disponibles plutôt que de faire un effort supplémentaire pour les masquer.. C'est certainement une meilleure façon de le faire pour les personnes utilisant ces applications Web, puisqu'il leur permet de s'assurer que leurs données privées restent confidentielles. Malgré cela, le mal est fait pour ce cas. Il faudra attendre les conséquences pour voir à quel point c'est grave.
