O serviço de portal Power Apps da Microsoft foi projetado para facilitar o desenvolvimento de aplicativos da web ou móveis. Infelizmente, devido a um problema com a configuração de segurança padrão, 38 milhões de dados de usuários foram disponibilizados publicamente quando não deveriam estar.
O que aconteceu com os aplicativos de energia da Microsoft?
Essencialmente, a plataforma Microsoft Power Apps padronizou para tornar os dados publicamente acessíveis em vez de mantê- los privados por padrão, conforme descoberto pela Upguard e relatado pela Wired . Infelizmente, isso significava que qualquer pessoa que desejasse colocar rapidamente um aplicativo da web em funcionamento com essas APIs precisaria habilitar a segurança manualmente, e não o contrário.
“A equipe de pesquisa UpGuard agora pode divulgar múltiplos vazamentos de dados resultantes de portais do Microsoft Power Apps configurados para permitir o acesso público – um novo vetor de exposição de dados”, disse Upguard em uma postagem no blog .
Os Microsoft Power Apps são usados por uma ampla variedade de empresas e órgãos governamentais. Por ser rápido e fácil instalar um site ou aplicativo, ele era usado com frequência para ferramentas COVID-19 , como rastreamento de contato, formulários de inscrição de vacina e assim por diante. A plataforma também era popular para armazenar portais de candidatura a empregos e bancos de dados de funcionários.
Essas ferramentas podem conter dados confidenciais do usuário, e um número impressionante deles não tinha as medidas de segurança ativadas. Isso significa que dados como números de telefone, endereços residenciais, números de previdência social e status de vacinação da Covid-19 foram expostos a qualquer pessoa que os estivesse procurando.
Apenas alguns exemplos de organizações que isso afetou são American Airlines, Ford, JB Hunt, o Departamento de Saúde de Maryland, a Autoridade de Transporte Municipal de Nova York e escolas públicas de Nova York.
Existe uma solução?
Felizmente, a situação já foi tratada pela Microsoft . A empresa agora definiu que as configurações padrão não permitem que os dados da API e outras informações sejam disponibilizados publicamente. Em vez disso, os desenvolvedores precisarão habilitar essa configuração manualmente, que provavelmente é como deveria ser desde o primeiro dia.
Sempre haverá dados que os desenvolvedores desejam publicar, então eles terão que passar pela etapa extra de disponibilizar dados selecionados, em vez de fazer o esforço extra para ocultá-los. Esta é definitivamente a melhor maneira de fazer as pessoas que usam esses aplicativos da web, pois permite que elas tenham a certeza de que seus dados privados são mantidos em sigilo. No entanto, o dano está feito neste caso. Precisamos esperar pela precipitação para ver o quão ruim está.