Foto: Peter Macdiarmid (Getty Images)

Una nuova ricerca mostra che configurazioni errate di uno strumento web ampiamente utilizzato hanno portato alla fuga di decine di milioni di record di dati.

Microsoft’s Power AppsUna popolare piattaforma di sviluppo, permette alle organizzazioni di creare rapidamente applicazioni web, complete di siti web rivolti al pubblico e relativa gestione dei dati backend. Molti governi hanno usato Power Apps per creare rapidamente interfacce di tracciamento dei contatti covid-19, per esempio.

Tuttavia, configurazioni errate del prodotto possono lasciare grandi quantità di dati pubblicamente esposti al web – che è esattamente quello che è successo.

Ricercatori della società di cybersicurezza UpGuard ha recentemente scoperto che ben 47 entità diverse, tra cui governi, grandi aziende e la stessa Microsoft, avevano mal configurato le loro Power Apps per lasciare i dati esposti.

L’elenco include alcune istituzioni molto grandi, tra cui i governi statali del Maryland e dell’Indiana e le agenzie pubbliche di New York City, come l’MTA. Anche grandi aziende private, tra cui American Airlines e la società di trasporti e logistica J.B. Hunt, hanno subito perdite.

I ricercatori di UpGuard scrivono che la carrellata di dati trapelati ha incluso un sacco di roba sensibile, tra cui “informazioni personali utilizzate per il tracciamento dei contatti COVID-19, appuntamenti di vaccinazione COVID-19, numeri di sicurezza sociale per i candidati al lavoro, ID dei dipendenti e milioni di nomi e indirizzi e-mail”.

Secondo i ricercatori, Microsoft stessa ha apparentemente mal configurato un certo numero di banche dati Power Apps, lasciando grandi quantità di loro record esposti. Uno di questi apparentemente includeva una “raccolta di 332.000 indirizzi e-mail e ID dipendenti utilizzati per i servizi di libro paga globale di Microsoft”, scrivono i ricercatori.

A giugno, UpGuard ha contattato il Security Resource Center di Microsoft per presentare un rapporto di vulnerabilità, avvisandoli del problema diffuso. Complessivamente, 38 milioni di record sono stati apparentemente esposti come risultato delle perdite osservate dai ricercatori.

UpGuard alla fine ha concluso che Microsoft non ha pubblicizzato abbastanza questo problema di sicurezza, e che si sarebbe dovuto fare di più per avvisare i clienti dei pericoli di una cattiva configurazione. I ricercatori scrivono:

Il numero di account che espongono informazioni sensibili … indica che il rischio di questa funzione – la probabilità e l’impatto della sua misconfigurazione– non è stato adeguatamente apprezzato. Da un lato, la documentazione del prodotto descrive accuratamente cosa succede se un’app viene configurata in questo modo. D’altra parte, l’evidenza empirica suggerisce che un avvertimento nella documentazione tecnica non è sufficiente ad evitare le gravi conseguenze di una cattiva configurazione dei feed di liste OData per i portali Power Apps.

In seguito alle rivelazioni di UpGuard, Microsoft ha da allora spostato i permessi e le impostazioni predefinite relative a Power Apps per rendere il prodotto più sicuro.

.

Source link