Controlla le tue autorizzazioni: le impostazioni predefinite nello strumento Microsoft espongono 38 milioni di record di utenti online

Impostazioni delle autorizzazioni predefinite in uno strumento di creazione di app di Microsoft sono stati incolpati per aver esposto online i dati di 38 milioni di persone. Le informazioni tra cui nomi, indirizzi e-mail, numeri di telefono, numeri di previdenza sociale e appuntamenti per la vaccinazione COVID-19 sono state inavvertitamente rese pubblicamente accessibili da 47 diverse aziende ed enti governativi utilizzando la piattaforma Power Apps di Microsoft. Tuttavia, non ci sono prove che i dati vengano sfruttati e il problema sottostante è stato risolto da Microsoft.

Il problema è stato originariamente scoperto a maggio dal team di ricerca sulla sicurezza UpGuard. In un recente post sul blog da UpGuard e rapporto da Cablato, l’azienda spiega in che modo le organizzazioni che utilizzano Power Apps hanno creato app con autorizzazioni dati improprie.

“Abbiamo trovato uno di questi [apps] che è stato configurato in modo errato per esporre i dati e abbiamo pensato, non ne abbiamo mai sentito parlare, è una cosa una tantum o è un problema sistemico?” Lo ha detto il vicepresidente della ricerca informatica di UpGuard, Greg Pollock Cablato. “Grazie al modo in cui funziona il prodotto dei portali Power Apps, è molto facile fare rapidamente un sondaggio. E abbiamo scoperto che ce ne sono tonnellate esposte. Era selvaggio”.

Power Apps consente alle aziende di creare app e siti Web semplici senza esperienza di codifica formale. Le organizzazioni coinvolte nella violazione, tra cui Ford, American Airlines, JB Hunt e agenzie statali del Maryland, di New York e dell’Indiana, utilizzavano il sito per raccogliere dati per vari scopi, inclusa l’organizzazione di iniziative di vaccinazione. Power Apps offre strumenti per raccogliere rapidamente il tipo di dati necessari in questi progetti, ma, per impostazione predefinita, lascia queste informazioni pubblicamente accessibili. Questa è l’esposizione scoperta da UpGuard.

Il meccanismo di questa particolare “violazione” è interessante, in quanto sfuma il confine tra ciò che è una vulnerabilità del software e ciò che è semplicemente una scelta sbagliata nella progettazione dell’interfaccia utente. UpGuard afferma che la posizione di Microsoft è che questa non era una vulnerabilità in quanto era colpa degli utenti per non aver configurato correttamente le autorizzazioni delle app. Ma, probabilmente, se stai creando un’app progettata per essere utilizzata da persone con poca esperienza di programmazione, rendere le cose il più sicure possibile per impostazione predefinita sembrerebbe essere la mossa intelligente. Come segnalato da Cablato, Microsoft ha ora cambiato il impostazioni dei permessi predefiniti responsabile dell’esposizione.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *