A Microsoft Power Apps A portálszolgáltatás célja, hogy könnyebbé tegye a webes vagy mobilalkalmazások fejlesztését. Sajnos, az alapértelmezett biztonsági beállítással kapcsolatos probléma miatt a 38 millió felhasználó adata nyilvánosan elérhető volt, ha nem lett volna.
Mi történt a Microsoft Power alkalmazásokkal?
Lényegében a Microsoft Power Apps platform nem teljesítette, hogy az adatokat nyilvánosan hozzáférhetővé tegye, ahelyett, hogy az adatokat alapértelmezés szerint tartja, amint azt felfedezte Upguard és jelentették Vezetékes . Sajnos ez azt jelentette, hogy bárki, aki gyorsan keres egy webes alkalmazást és fut Apisz manuálisan kell engedélyeznie a biztonságot, nem pedig a másik irányba.
"A Upguard Research Team most már több adatszivárgást adhat ki, amely a Microsoft Power Apps portálokból származik, amelyek konfigurálják a nyilvános hozzáférést - az adatkibocsátás új vektorát" - mondta Upguard a blog bejegyzés .
A Microsoft Power alkalmazásokat számos vállalat és kormányzati szerv használják. Mert gyors és könnyű, hogy webes vagy app megy, amit gyakran használtak Covid-19 szerszámok Mint például az érintkező nyomon követés, vakcina feliratkozási formák stb. A platform szintén népszerű volt a munkaalkalmazás portálok és a munkavállalói adatbázisok tárolására.
Ezek az eszközök tartalmazhatnak érzékeny felhasználói adatokat, és sokkoló számuk nem volt a biztonsági intézkedések bekapcsolása. Ez azt jelenti adatokat, például telefonszámok, otthoni címek, társadalombiztosítási számok, és Covid-19 vakcinázási státus voltak kitéve annak, aki történetesen keresi őket.
Csak néhány példa olyan szervezetekre, amelyeket ez érintett az amerikai légitársaságok, a Ford, a J.b. Hunt, a Maryland Egészségügyi Minisztérium, a New York-i Városi Közlekedési Hatóság és a New York-i városi iskolák.
Van-e javítás?
Szerencsére a helyzet már volt A Microsoft címzettje . A vállalat most megtette, így az alapértelmezett beállítások nem teszik lehetővé az API-adatokat és más információkat nyilvánosan hozzáférhetővé. Ehelyett a fejlesztőknek engedélyezniük kell ezt a beállítást manuálisan, ami valószínűleg hogyan kellett volna az első naptól.
Mindig olyan adatok lesznek, amelyeket a fejlesztők nyilvánosnak akarnak, ezért meg kell mennie az extra lépést, hogy válasszon adatokat, nem pedig az extra erőfeszítést, hogy elrejtse. Ez egyértelműen jobb módja annak, hogy ezeket a webes alkalmazásokat használó embereknek menjenek, mivel lehetővé teszi számukra, hogy biztosítsák, hogy magán adatai bizalmasak legyenek. A kár azonban ebben az esetben történik. Meg kell várnunk, hogy a fallout, hogy milyen rossz.
