Power Apps di Microsoft Il servizio del portale è pensato per facilitare lo sviluppo di applicazioni web o mobile. Sfortunatamente, a causa di un ostacolo con le impostazioni di sicurezza predefinite, i dati da 38 milioni di utenti erano pubblicamente disponibili quando non avrebbero dovuto esserlo.
Cosa è successo a Microsoft Power Apps?
Essenzialmente, la piattaforma Microsoft Power Apps per impostazione predefinita rendeva i dati accessibili al pubblico invece di mantenerli privati per impostazione predefinita, come l'hai scoperto upguard e informato da Cablaggio. Sfortunatamente, ciò significava che chiunque volesse avviare rapidamente un'applicazione Web con queste API avrebbe dovuto abilitare manualmente la sicurezza, invece del contrario.
“El equipo de investigación de UpGuard ahora puede revelar múltiples fugas de datos resultantes de los portales de Microsoft Power Apps configurados para permitir el acceso público, un nuevo vector de exposición de datos”, ha detto Upguard in a post sul blog.
Microsoft Power Apps è utilizzato da un'ampia gamma di aziende e agenzie governative. Perché è facile e veloce avviare un portale web o un'applicazione, usato abbastanza spesso per gli strumenti COVID-19, come il tracciamento dei contatti, moduli di registrazione delle vaccinazioni, eccetera. La piattaforma era anche popolare per l'archiviazione di portali di domande di lavoro e database dei lavoratori..
Questi strumenti potrebbero contenere dati utente riservati e un numero sorprendente di essi non aveva misure di sicurezza attivate. Ciò significa dati come numeri di telefono, gli indirizzi delle case, I numeri di previdenza sociale e lo stato di vaccinazione Covid-19 sono stati esposti a chiunque li cercasse.
Solo alcuni esempi delle istituzioni interessate sono American Airlines, Guado, JB Hunt, il Dipartimento della Salute del Maryland, Autorità municipale dei trasporti di New York City e scuole pubbliche di New York City.
C'è una soluzione??
fortunatamente, la situazione è già stata contattato da Microsoft. L'azienda ha ora fatto in modo che le impostazioni predefinite non consentano la disponibilità pubblica dei dati API e di altre informazioni. Anziché, gli sviluppatori dovranno abilitare questa impostazione manualmente, che è probabilmente come avrebbe dovuto essere dal primo giorno.
Ci saranno sempre dati che gli sviluppatori vorranno rendere pubblici, quindi dovranno passare attraverso il passaggio aggiuntivo di rendere disponibili i dati selezionati piuttosto che fare il possibile per nasconderli.. Questo è sicuramente un modo migliore per farlo per le persone che usano queste app web, poiché consente loro di essere sicuri che i loro dati privati siano mantenuti riservati. Nonostante questo, il danno è fatto per questo caso. Dovremo aspettare le conseguenze per vedere quanto è grave.
