Power Apps de Microsoft O serviço de portal é projetado para facilitar o desenvolvimento de aplicativos web ou móveis. Infelizmente, devido a um obstáculo com as configurações de segurança padrão, os dados de 38 milhões de usuários estavam publicamente disponíveis quando não deveriam estar.
O que aconteceu com o Microsoft Power Apps?
Essencialmente, a plataforma Microsoft Power Apps padronizada para tornar os dados acessíveis ao público em vez de manter os dados privados por padrão, como você descobriu Upguard e informado por Cabeamento. Infelizmente, isso significava que qualquer pessoa que quisesse iniciar rapidamente um aplicativo da web com essas APIs teria que habilitar manualmente a segurança, em vez do contrário.
“A equipe de pesquisa do UpGuard pode agora revelar vários vazamentos de dados resultantes de portais do Microsoft Power Apps configurados para permitir acesso público, um novo vetor de exposição de dados”, disse Upguard em um postagem do blog.
O Microsoft Power Apps é usado por uma ampla gama de empresas e agências governamentais. Porque é rápido e fácil lançar um portal web ou um aplicativo, usado com bastante frequência para ferramentas COVID-19, como rastreamento de contato, formulários de registro de imunização, etc. A plataforma também era popular para armazenar portais de aplicativos de trabalho e bancos de dados de trabalhadores..
Essas ferramentas podem conter dados confidenciais do usuário e um número surpreendente deles não tem medidas de segurança ativadas. Isso significa dados como números de telefone, os endereços das casas, Os números da previdência social e o status de vacinação da Covid-19 foram expostos a qualquer pessoa que os procurasse.
Apenas alguns exemplos de instituições afetadas são American Airlines, Ford, JB Hunt, o Departamento de Saúde de Maryland, Autoridade de Transporte Municipal de Nova York e Escolas Públicas de Nova York.
Há uma solução?
Por sorte, a situação já foi abordado pela Microsoft. A empresa agora faz com que as configurações padrão não permitam que os dados da API e outras informações sejam disponibilizados publicamente. Em vez de, os desenvolvedores precisarão habilitar esta configuração manualmente, que é provavelmente como deveria ter sido desde o primeiro dia.
Sempre haverá dados que os desenvolvedores desejam tornar públicos, portanto, eles terão que passar pela etapa adicional de disponibilizar os dados selecionados, em vez de ir mais longe para ocultá-los.. Esta é definitivamente a melhor maneira de fazer isso para pessoas que usam esses aplicativos da web, uma vez que lhes permite ter certeza de que seus dados privados são mantidos em sigilo. Apesar disto, o dano está feito para este caso. Teremos que esperar pelas consequências para ver o quão ruim está.
