Impostazioni predefinite dei permessi in uno strumento di costruzione di app di Microsoft sono state incolpate per aver esposto i dati di 38 milioni di persone online. Informazioni tra cui nomi, indirizzi e-mail, numeri di telefono, numeri di previdenza sociale e appuntamenti di vaccinazione COVID-19 sono stati inavvertitamente resi pubblicamente accessibili da 47 diverse aziende ed enti governativi che utilizzano la piattaforma Power Apps di Microsoft. Non ci sono prove che i dati siano stati sfruttati, però, e il problema di fondo è stato risolto da Microsoft.

Il problema è stato originariamente scoperto a maggio dal team di ricerca sulla sicurezza UpGuard. In un recente post sul blog da UpGuard e rapporto da Wired, l’azienda spiega come le organizzazioni che utilizzano Power Apps hanno creato app con permessi di dati impropri.

“Abbiamo trovato uno di questi [apps] che era mal configurato per esporre i dati e abbiamo pensato, non abbiamo mai sentito parlare di questo, è una cosa una tantum o è un problema sistemico?” Il vice presidente della ricerca informatica di UpGuard, Greg Pollock, ha detto a Wired. “A causa del modo in cui il prodotto Power Apps portals funziona, è molto facile fare rapidamente un sondaggio. E abbiamo scoperto che ci sono tonnellate di questi esposti. È stato selvaggio”.

Power Apps permette alle aziende di costruire semplici applicazioni e siti web senza esperienza formale di codifica. Le organizzazioni coinvolte nella violazione – tra cui Ford, American Airlines, J.B. Hunt, e le agenzie statali in Maryland, New York City, e Indiana – stavano utilizzando il sito per raccogliere dati per vari scopi, tra cui l’organizzazione di sforzi di vaccinazione. Power Apps offre strumenti per raccogliere rapidamente il tipo di dati necessari in questi progetti, ma, per impostazione predefinita, lascia queste informazioni pubblicamente accessibili. Questa è l’esposizione che UpGuard ha scoperto.

Il meccanismo di questa particolare “violazione” è interessante, in quanto confonde la linea tra ciò che è una vulnerabilità del software e ciò che è semplicemente una cattiva scelta nel design dell’interfaccia utente. UpGuard dice che la posizione di Microsoft è che questa non è una vulnerabilità in quanto è colpa degli utenti per non aver configurato correttamente i permessi delle applicazioni. Ma, probabilmente, se si sta facendo un’app progettata per essere utilizzata da persone con poca esperienza di codifica, allora rendere le cose il più sicure possibile per impostazione predefinita sembrerebbe essere la mossa più intelligente. Come riportato da Wired, Microsoft ha ora cambiato il le impostazioni predefinite dei permessi responsabile dell’esposizione.

Source link