Standardinnstillinger for tillatelser i et appbyggingsverktøy fra Microsoft har fått skylden for å ha avslørt dataene til 38 millioner mennesker på nettet. Informasjon, inkludert navn, e-postadresser, telefonnumre, personnummer og vaksinasjonsavtaler mot COVID-19 ble utilsiktet gjort offentlig tilgjengelig av 47 forskjellige selskaper og offentlige enheter som bruker Microsofts Power Apps-plattform. Det er imidlertid ingen bevis på at dataene ble utnyttet, og det underliggende problemet er nå løst av Microsoft.
Problemet ble opprinnelig oppdaget i mai av sikkerhetsteamet UpGuard. I et nylig blogginnlegg fra UpGuard og rapport fra Wired forklarer selskapet hvordan organisasjoner som bruker Power Apps opprettet apper med feil datatillatelser.
“Vi fant en av disse [appene] som var feil konfigurert for å avsløre data, og vi tenkte at vi aldri har hørt om dette, er dette en engangstilfelle eller er dette et systemisk problem?” UpGuards visepresident for cyberforskning Greg Pollock fortalte Wired. “På grunn av måten Power Apps portals -produktet fungerer på, er det veldig enkelt å raskt gjøre en undersøkelse. Og vi oppdaget at det er tonnevis av disse utsatt. Det var vilt. ”
“ vi oppdaget at det er tonnevis av disse utsatt. Det var vilt. ”
Power Apps lar selskaper bygge enkle apper og nettsteder uten formell kodeopplevelse. Organisasjoner involvert i bruddet – inkludert Ford, American Airlines, J.B. Hunt og statlige byråer i Maryland, New York City og Indiana – brukte nettstedet til å samle inn data til forskjellige formål, inkludert organisering av vaksinasjonsarbeid. Power Apps tilbyr verktøy for å raskt samle dataene som trengs i disse prosjektene, men som standard gjør denne informasjonen offentlig tilgjengelig. Dette er eksponeringen UpGuard oppdaget.
Mekanismen for dette “bruddet” er interessant, ettersom det utvisker grensen mellom hva som er en programvaresårbarhet og det som bare er et dårlig valg i brukergrensesnittdesign. UpGuard sier at Microsofts holdning er at dette ikke var et sårbarhet, ettersom det var brukernes skyld for ikke å konfigurere appers tillatelser på riktig måte. Men uten tvil ser det ut til å være et smart trekk hvis du lager en app designet for å bli brukt av folk med liten kodingerfaring. Som rapportert av Wired, har Microsoft nå endret standardtillatelsesinnstillingene som er ansvarlige for eksponeringen.