יישומי חשמל של מיקרוסופט שירות הפורטל נועד להפוך את הפיתוח של יישומים לאינטרנט או לנייד קל יותר. למרבה הצער, בשל בעיה עם הגדרת אבטחה ברירת המחדל, 38 מיליון נתונים של משתמשים זמינים בפומבי כאשר זה לא צריך להיות.
מה קרה עם יישומי חשמל של Microsoft?
בעיקרו של דבר, פלטפורמת פלטפורמת Microsoft Power Apps ברירת המחדל כדי להפוך את הנתונים הנגישים לציבור במקום לשמור את הנתונים הפרטיים כברירת מחדל, כפי שהתגלה על ידי Upguard. ודיווח על ידי Wired. . למרבה הצער, זה אומר שמישהו מחפש במהירות לקבל יישום אינטרנט לרוץ עם אלה APIS היה צריך לאפשר ביטחון באופן ידני, ולא להיפך.
"צוות המחקר UpGuard יכול כעת לחשוף את דליפות נתונים מרובות הנובעות מ- Microsoft Power Apps Portals שהוגדרו לאפשר גישה ציבורית - וקטור חדש של חשיפת נתונים," אמר Upguard ב פוסט בבלוג .
Microsoft Power Apps משמשים מגוון רחב של חברות וגופים ממשלתיים. כי זה מהיר וקל כדי לקבל אתר או App הולך, הוא שימש לעתים קרובות למדי עבור COVID-19 כלים כגון מעקב אחר קשר, צורות ההרשמה לחיסון, וכן הלאה. הפלטפורמה היתה גם פופולארית לאחסון פורטלים יישום עבודה ומסדי נתונים לעובדים.
כלים אלה יכולים להכיל נתוני משתמש רגישים, ולמספר מזעזע של אותם לא הופעלו את אמצעי האבטחה. כלומר, נתונים כגון מספרי טלפון, כתובות בית, מספרי ביטוח לאומי, ומעמד החיסון של Covid-19 נחשפו לכל מי שיקבעו לחפש אותם.
רק כמה דוגמאות של ארגונים שהשפיעו זו הן איירליינס אמריקן, פורד, ג'בור. האנט, מחלקת הבריאות של מרילנד, רשות התחבורה העירונית של ניו יורק, ובתי הספר הציבוריים של ניו יורק.
האם יש תיקון?
למרבה המזל, המצב כבר היה מופנה על ידי מיקרוסופט . החברה עשתה זאת, כך שהגדרות ברירת המחדל אינן מאפשרות לנתוני API ולמידע אחר להיות זמין בפומבי. במקום זאת, מפתחים יצטרכו לאפשר הגדרה זו באופן ידני, וזה כנראה איך זה היה צריך להיות מיום אחד.
תמיד יש נתונים כי מפתחים רוצים ציבור, אז הם יצטרכו לעבור את הצעד הנוסף של ביצוע נתונים נבחרים זמין במקום לעבור את המאמץ הנוסף כדי להפוך אותו מוסתר. זוהי בהחלט דרך טובה יותר ללכת על אנשים המשתמשים באישיות אינטרנט אלה, כפי שהוא מאפשר להם להיות סמוך ובטוח כי הנתונים הפרטיים שלהם נשמר סודי. עם זאת, הנזק נעשה במקרה זה. נצטרך לחכות לנשורת לראות כמה רע זה.
