Aplicativos de energia da Microsoft O serviço do portal é projetado para facilitar o desenvolvimento de aplicativos da web ou móveis. Infelizmente, devido a um problema com a configuração de segurança padrão, 38 milhões de dados dos usuários estavam disponíveis publicamente quando não deveria ter sido.
O que aconteceu com os aplicativos da Microsoft Power?
Essencialmente, a plataforma Microsoft Power Apps padronizou para tornar os dados acessíveis publicamente em vez de manter os dados privados por padrão, conforme descoberto por Upguard. e relatado por Com fio . Infelizmente, isso significava que qualquer pessoa olhando para obter um aplicativo da web e correndo com estes Apis. precisaria habilitar manualmente a segurança, em vez do contrário.
"A equipe de pesquisa de Upguard agora pode divulgar vários vazamentos de dados resultantes dos portais do Microsoft Power Apps configurados para permitir o acesso público - um novo vetor de exposição de dados", disse Upguard em um postagem do blog. .
Microsoft Power Apps são usados por uma ampla gama de empresas e órgãos governamentais. Porque é rápido e fácil de obter um site ou aplicativo, foi usado com bastante frequência para Covid-19 Ferramentas como contato de contato, formulários de inscrição da vacina e assim por diante. A plataforma também foi popular para armazenar portais de aplicativos de emprego e bancos de dados de funcionários.
Essas ferramentas podem conter dados sensíveis do usuário, e um número chocante deles não tinha as medidas de segurança ativadas. Isso significa que os dados como números de telefone, endereços residenciais, números de segurança social e status de vacinação Covid-19 foram expostos a qualquer um que tivesse procurando por eles.
Apenas alguns exemplos de organizações que isso afetam são a American Airlines, Ford, J.B. Hunt, o Departamento de Saúde de Maryland, a Autoridade Municipal de Transportes Municipais de Nova York e as Escolas Públicas de Nova York.
Existe uma correção?
Felizmente, a situação já foi endereçado pela Microsoft. . A empresa agora fez isso, para que as configurações padrão não permitissem dados de API e outras informações sejam disponíveis publicamente. Em vez disso, os desenvolvedores precisarão habilitar essa configuração manualmente, que é provavelmente como deveria ter sido do primeiro dia.
Sempre haverá dados que os desenvolvedores querem públicos, então eles terão que passar pelo passo extra de selecionar dados disponíveis em vez de passar pelo esforço extra para torná-lo oculto. Esta é definitivamente uma maneira melhor de ir para as pessoas usando esses aplicativos da Web, pois os permite ter certeza de que seus dados privados são mantidos confidenciais. No entanto, o dano é feito neste caso. Precisamos esperar que a falência veja o quão ruim é.
