Anslut till Senaste Tekniska Nyheter, Bloggar, Recensioner

Forskare fann att en felkonfiguration i webbappar med Power Apps -portaler avslöjade 38 miljoner poster

I korthet: Säkerhetsforskare fann att ett stort antal webbappar som använder Microsofts Power Apps -portaler avslöjade 38 miljoner poster på det öppna Internet som ett resultat av en enkel felkonfiguration. Även om problemet sedan har lösts, bör det vara en läxa att säkerhetsinställningar för en plattform med låg kod bör innehålla en sekretessbrytare som är aktiverad som standard.

Den växande trenden med storskaliga säkerhetsfel är långt ifrån över, vilket framgår av forskning som visar att cirka 38 miljoner poster från över tusen webbappar som byggdes med Microsofts Power Apps-plattform exponerades för det öppna internet. Detta inkluderar data från anställdas databaser, appportaler, vaccinationsregistreringsverktyg och spårningsplattformar för coronavirus, ovanpå saker som telefonnummer, personnummer och hemadresser.

För att få en uppfattning om allvaret i denna incident tillhör uppgifterna ett antal stora företag som Ford, American Airlines, JB Hunt, liksom institutioner som New York City public schools, Maryland Department of Health, New York City Municipal Transportation Authority och Indiana Department of Health. Även en del Microsoft-tillverkade appar påverkas, med över 332 000 e-postadresser och medarbetar-ID avslöjade.

Enligt en Wired -rapport upptäckte forskare på säkerhetsföretaget Upguard problemet i maj. Deras undersökning drog slutsatsen att över tusen datauppsättningar från Power Apps -portaler som skulle vara privata hade gjorts tillgängliga genom en till synes mindre felkonfiguration. Kort sagt, data som erhållits av utvecklare via Power Apps -portaler var offentliga som standard, och de skulle därför behöva ställa in den manuellt till privat om så önskas.

Upguard rapporterade problemet till Microsoft Security Resource Center den 24 juni, men den senare svarade med att förklara att detta beteende faktiskt var “av design”. Forskare började sedan meddela de berörda organisationerna, och en månad senare hade nästan all exponerad information gjorts privat.

Den goda nyheten är att problemet sedan har lösts av Microsoft, som ändrade utformningen av Power Apps -portaler för att hålla data privata som standardbeteende och släppte ett verktyg för utvecklare för att kontrollera om deras portalsäkerhetsinställningar tillåter data att vara tillgängliga för allmänheten. Upguard säger att det inte hittade någon indikation på att exponerade data har äventyrats, så de drabbade organisationerna kan åtminstone andas ut.

I ett uttalande förklarade Microsoft, “våra produkter ger kunderna flexibilitet och integritetsfunktioner för att designa skalbara lösningar som uppfyller en mängd olika behov. Vi tar säkerhet och integritet på allvar och vi uppmuntrar våra kunder att använda bästa praxis när de konfigurerar produkter på ett sätt som bäst uppfyller deras integritetsbehov. “