Milijuni osjetljivih podataka bili su dostupni zbog loše konfiguriranog softvera Istaknuto
Microsoft i još 47 tvrtki te vladinih institucija omogućilo je pristup 38 milijuna osjetljivih podataka online zbog loše kofiguriranog servisa Power Apps.
Jedan od analitičara tvrtke UpGuard još je u svibnju otkrio kako je moguće anonimno pristupiti bazama podataka za Power Apps, u kojima su bili i osobni podaci korisnika. To je zaposlene u toj tvrtci potaklo na dublje istraživanje više portala za Power Apps. Ustanovili su kako je više od tisuću aplikacija konfigurano tako da će podatke učiniti dostupnima svima tko ih zatraži.
Među tim portalima bili su oni kojima se koriste tijela državne i lokalne samouprave u američkim saveznim državama Indiani i Marylandu te gradu New Yorku, kao i privatne tvrtke poput American Airlinesa, Forda, JB Hunta i - Microsofta.
Između ostalog, tako su bili dostupni podaci američkih vlasti o praćenju širenja bolesti COVID-19 i napretku cijepljenja, kao i - u jednom slučaju - prijave za posao s brojevima socijalnog osiguranja.
Zasad nema naznaka kako je došlo do zlorabe mogućnosti pristupa podacima, piše Register.
Nezahvalni korisnici
Power Apps omogućavaju izradu poslovnih aplikacija po mjeri i osobama koje nisu profesionalni računalni programeri. Putem portala za njih Microsoftovi korisnici mogu kreirati javna web odredišta kako bi podaci u aplikacijama bili dostupni.
Ti portali povlače podatke iz Power Appsa putem API-ja za Open Data Protocol (OData). Microsoft je u pratećoj dokumentaciji upozorio na potrebu poduzimanja mjera kako bi podaci bili zaštićeni. Ali, pokazalo se kako su u više tvrtki i institucija zanemarili te upute pa su podaci korisnika ostali javno dostupni.
UpGuard je o svom otkriću obavijestio Microsoft 24. lipnja. No, oni su zaključili kako nije riječ o sigurnosnom propustu već su odgovornost prebacili na nemarne korisnike. Ipak, poduzeli su korake kako bi automatski osigurali razinu sigurnosti prikladniju za low-code aplikacije, a i bolje su istaknuli uputu u pratećoj dokumentaciji.
A UpGuard je, umjesto zahvale, od dijela institucija koje je upozorio na (mogući) problem dobio optužbe kako namjerno pronalaze sigurnosne propuste ne bi li na njima zaradili.
Vezani članci
- Activision studio Toys for Bob postaje neovisan nakon velikih otkaza u Xboxu
- Medijske kuće tužile OpenAI i Microsoft zbog kršenja autorskih prava
- VIDI odabrao Top 50 hrvatskih mobilnih aplikacija za 2024
- Microsoft poziva na AI hackathon za žene
- Microsoft ušao u upravu OpenAI, Sam Altman se vratio kao CEO
