Microsoft: l’errata configurazione in Power Apps espone 38 milioni di dati
L’errata configurazione nei portali Power Apps di Microsoft espone 38 milioni di dati.
I ricercatori di sicurezza hanno scoperto che un gran numero di applicazioni Web che utilizzano i portali Power Apps di Microsoft ha esposto 38 milioni di registri a Internet aperto a causa di una semplice configurazione errata. Sebbene il problema sia stato risolto, dovrebbe essere una lezione appresa che le impostazioni di sicurezza per una piattaforma low-code dovrebbero includere un interruttore per la privacy abilitato per impostazione predefinita.
La tendenza crescente degli errori di sicurezza su larga scala è tutt’altro che finita, come dimostra una ricerca che mostra che circa 38 milioni di record di oltre mille applicazioni Web create utilizzando la piattaforma -form Microsoft Power Apps sono stati esposti a Internet aperto. Ciò include dati provenienti da database dei dipendenti, portali di app, strumenti di registrazione delle vaccinazioni e piattaforme di tracciamento dei contatti del coronavirus, oltre a elementi come numeri di telefono, numeri, previdenza sociale e indirizzi personali.
Per avere un’idea della gravità di questo incidente, i dati sono di proprietà di una serie di grandi aziende come Ford, American Airlines, JB Hunt, nonché istituzioni come New York Public Schools, Maryland Department of Health, New York City Autorità municipale dei trasporti e Dipartimento della salute dell’Indiana. Anche alcune applicazioni progettate da Microsoft sono interessate, con oltre 332.000 indirizzi e-mail e ID dei dipendenti esposti.
Leggi anche:
Secondo un articolo di Wired, i ricercatori della società di sicurezza Upguard hanno scoperto il problema a maggio. La loro indagine ha concluso che oltre un migliaio di set di dati dai portali Power Apps che avrebbero dovuto essere privati sono stati resi accessibili da un errore di configurazione apparentemente minore. In breve, i dati che gli sviluppatori ottenevano tramite i portali di Power Apps erano pubblici per impostazione predefinita, quindi dovevano impostarli manualmente su privati se lo desideravano.
Upguard ha segnalato il problema al Microsoft Security Resource Center il 24 giugno, ma quest’ultimo ha risposto spiegando che il comportamento era in realtà “by design”. I ricercatori hanno quindi iniziato a informare le organizzazioni coinvolte e, un mese dopo, quasi tutti i dati esposti sono stati resi privati.
La buona notizia è che il problema è stato risolto da Microsoft, che ha modificato il design dei portali di Power Apps per mantenere i dati privati come comportamento predefinito e ha rilasciato uno strumento per consentire agli sviluppatori di verificare se le impostazioni di sicurezza del portale consentono l’accesso pubblico ai dati. Upguard afferma di non aver trovato alcuna indicazione che i dati esposti siano stati compromessi, quindi le organizzazioni coinvolte possono almeno tirare un sospiro di sollievo.
In una dichiarazione, Microsoft ha spiegato:
I nostri prodotti offrono ai clienti la flessibilità e le funzionalità di privacy per progettare soluzioni scalabili che soddisfano un’ampia varietà di esigenze. Prendiamo sul serio la sicurezza e la privacy e incoraggiamo i nostri clienti a utilizzare le migliori pratiche durante la configurazione dei prodotti per soddisfare meglio le loro esigenze di privacy.
Ti potrebbe interessare:
Segui guruhitech su:
- Google News: bit.ly/gurugooglenews
- Instagram: instagram.com/guruhitech_official
- Telegram: t.me/guruhitech
- Facebook: facebook.com/guruhitechweb
- Twitter: twitter.com/guruhitech1
- Threads: threads.net/@guruhitech_official
- Bluesky: bsky.app/profile/guruhitech.bsky.social
- GETTR: gettr.com/user/guruhitech
- Rumble: rumble.com/user/guruhitech
- VKontakte: vk.com/guruhitech
- MeWe: mewe.com/i/guruhitech
- Skype: live:.cid.d4cf3836b772da8a
- WhatsApp: bit.ly/whatsappguruhitech
Esprimi il tuo parere!
Utilizzi anche tu i portali Power Apps di Microsoft? Lascia un commento nell’apposita sezione che trovi più in basso e se ti va, iscriviti alla newsletter.
Per qualsiasi domanda, informazione o assistenza nel mondo della tecnologia, puoi inviare una email all’indirizzo [email protected].