Menu kategorii
  • Doszło do przecieku 38 milionów rekordów z Microsoft Power Apps

    Doszło do przecieku 38 milionów rekordów z Microsoft Power Apps

     Krzysztof Sulikowski
    Krzysztof Sulikowski
    20:22
    23.08.2021
    1778 wyświetleń

    Microsoft Power Apps to platforma low-code, która umożliwia szybkie tworzenie pełnoprawnych aplikacji, głównie do użytku wewnętrznego firm, wraz z frontendem i backendem. To potężne narzędzie, które pozwala tworzyć aplikacje nawet osobom bez znajomości języków programowania. Microsoft regularnie aktualizuje Power Apps, dodając nowe funkcje i możliwości. Do tej pory wszystko wydawało się w porządku, jednak ostatnie wieści są niepokojące. Wygląda na to, że ponad 38 milionów rekordów stało się dostępnych w Internecie z powodu domyślnej konfiguracji Power Apps.

    Firma zajmująca się bezpieczeństwem Upguard poinformowała, że tysiące aplikacji internetowych stworzonych przez wiele firm ujawniają poufne informacje za pośrednictwem publicznych portali Power Apps. Według raportu publicznie dostępnych było 38 milionów rekordów. Zawierały one informacje o śledzeniu kontaktów związanych z COVID-19, bazach danych pracowników, pracy, numerach telefonów, numerach ubezpieczenia i adresach domowych. Prawdopodobnie niektóre własne aplikacje Microsoftu również zachowywały się w taki sam sposób.

    Microsoft Power Apps

    Upguard twierdzi, że podczas włączania interfejsów API dla Power Apps domyślna konfiguracja sprawiała, że ​​wszystkie hostowane dane były publicznie dostępne. Każdy, kto miał dostęp do adresu URL portalu, mógł go wykorzystać do scrapingu danych należących do innego podmiotu. Firma o swoich ustaleniach poinformowała również Microsoft, w wyniku czego opublikował on w sierpniu aktualizację, która domyślnie ustawia API jako prywatne. Wprowadzono również narzędzie, dzięki któremu organizacje mogą sprawdzać ustawienia zabezpieczeń swoich portali Power Apps.

    Po czyjej stronie tak naprawdę leży wina za przeciek? Chociaż obowiązek prawidłowego skonfigurowania aplikacji powinien spoczywać na firmach je tworzących, to nie można zapomnieć, że Power Apps są promowane jako przystępna usługa dla osób również nietechnicznych. Ponadto domyślnie ustawiona publiczna dostępność API jest dość dziwną decyzją projektową.

    Nie jest jasne, czy z metody scrapingu korzystano powszechnie w tym przypadku, ale zostało podane, że błędna konfiguracja dotyczyła również takich firm, jak Ford, J.B. Hunt czy American Airlines.


    Spodobał Ci się ten artykuł? Podziel się z innymi!

    Źródło: https://www.upguard.com/breaches/power-apps

    Polecamy również w kategorii PowerApps