Aplicațiile de alimentare ale Microsoft Serviciul de portal este conceput pentru a facilita dezvoltarea aplicațiilor web sau mobile. Din păcate, din cauza unei probleme cu setarea de securitate implicită, datele de 38 de milioane de utilizatori au fost disponibile public atunci când nu ar fi trebuit să fie.
Ce sa întâmplat cu aplicațiile Microsoft Power?
În esență, platforma Microsoft Power Apps a imprestat ca datele accesibile publicului în loc să păstreze implicit datele private, așa cum este descoperit UpGuard și a raportat de către Cu fir . Din păcate, acest lucru a însemnat că oricine caută să obțină rapid o aplicație web și să alerge cu acestea API. ar trebui să permită manual securitatea, mai degrabă decât invers.
"Echipa de Cercetare UpGuard poate dezvălui acum mai multe scurgeri de date rezultate din portalurile Applicate Microsoft Power configurate pentru a permite accesul publicului - un nou vector de expunere a datelor", a spus Upguard într-o postare pe blog .
Aplicațiile Microsoft Power sunt utilizate de o gamă largă de companii și organisme guvernamentale. Deoarece este rapid și ușor de a obține un site web sau o aplicație, a fost folosit destul de frecvent pentru Covid-19 Tools cum ar fi trasarea contactului, formele de înscriere a vaccinurilor și așa mai departe. Platforma a fost, de asemenea, populară pentru stocarea portalurilor de angajare și a bazelor de date ale angajaților.
Aceste instrumente ar putea conține date de utilizator sensibile, iar un număr șocant dintre aceștia nu au avut măsurile de securitate activate. Aceasta înseamnă date precum numerele de telefon, adresele de origine, numerele de securitate socială și statutul de vaccinare COVID-19 au fost expuse oricui care le-a căutat.
Doar câteva exemple de organizații pe care acest lucru le-au afectat sunt companiile aeriene americane, Ford, J.B. Hunt, Departamentul de Sănătate din Maryland, Autoritatea de Transport Municipal din New York și Școlile Publice din New York.
Există o reparație?
Din fericire, situația a fost deja adresate de Microsoft. . Compania a făcut-o acum, astfel încât setările implicite să nu permită datele API și alte informații să fie disponibile publicului. În schimb, dezvoltatorii vor trebui să permită manual acest set, ceea ce este probabil cum ar fi trebuit să fie din prima zi.
Vor fi întotdeauna date pe care dezvoltatorii doresc să le publice, așa că vor trebui să treacă prin etapa suplimentară de a face datele selectate disponibile, mai degrabă decât să treacă prin efortul suplimentar pentru a face ascuns. Aceasta este cu siguranță o modalitate mai bună de a merge pentru oameni care utilizează aceste aplicații web, deoarece le permite să se asigure că datele lor private sunt păstrate confidențiale. Cu toate acestea, daunele se fac în acest caz. Va trebui să așteptăm căderea pentru a vedea cât de rău este.
