Le impostazioni delle autorizzazioni predefinite in uno strumento di creazione di app di Microsoft sono state accusate di aver esposto i dati di 38 milioni di persone online. Le informazioni tra cui nomi, indirizzi e-mail, numeri di telefono, numeri di previdenza sociale e appuntamenti per la vaccinazione COVID-19 sono state inavvertitamente rese pubblicamente accessibili da 47 diverse aziende ed enti governativi utilizzando la piattaforma Power Apps di Microsoft. Tuttavia, non ci sono prove che i dati vengano sfruttati e il problema sottostante è stato risolto da Microsoft.
Il problema è stato originariamente scoperto a maggio dal team di ricerca sulla sicurezza UpGuard. In un recente post sul blog di UpGuard e in un rapporto di Wired, l'azienda spiega come le organizzazioni che utilizzano Power Apps hanno creato app con autorizzazioni dati improprie.
“Abbiamo trovato una di queste [app] configurata in modo errato per esporre i dati e abbiamo pensato, non ne abbiamo mai sentito parlare, è una cosa una tantum o è un problema sistemico?” Lo ha detto a Wired il vicepresidente della ricerca informatica di UpGuard, Greg Pollock. “Grazie al modo in cui funziona il prodotto dei portali Power Apps, è molto facile fare rapidamente un sondaggio. E abbiamo scoperto che ce ne sono tonnellate esposte. Era selvaggio.”
“abbiamo scoperto che ce ne sono tonnellate esposte. Era selvaggio”.
Power Apps consente alle aziende di creare app e siti Web semplici senza esperienza di codifica formale. Le organizzazioni implicate nella violazione, tra cui Ford, American Airlines, J.B. Hunt e agenzie statali del Maryland, di New York e dell'Indiana, utilizzavano il sito per raccogliere dati per vari scopi, inclusa l'organizzazione di iniziative di vaccinazione. Power Apps offre strumenti per raccogliere rapidamente il tipo di dati necessari in questi progetti, ma, per impostazione predefinita, lascia queste informazioni pubblicamente accessibili. Questa è l'esposizione scoperta da UpGuard.
Il meccanismo di questa particolare “violazione” è interessante, poiché offusca il confine tra ciò che è una vulnerabilità del software e ciò che è semplicemente una cattiva scelta nella progettazione dell'interfaccia utente. UpGuard afferma che la posizione di Microsoft è che questa non era una vulnerabilità in quanto è stata colpa degli utenti per non aver configurato correttamente le autorizzazioni delle app. Ma, probabilmente, se stai creando un'app progettata per essere utilizzata da persone con poca esperienza di programmazione, rendere le cose il più sicure possibile per impostazione predefinita sembrerebbe essere la mossa intelligente. Come riportato da Wired, Microsoft ha ora modificato le impostazioni dei permessi predefiniti responsabili dell'esposizione.