Настройки по умолчанию в инструментарии Microsoft Power Apps стали причиной раскрытия данных 38 млн человек в интернете. Попавшая в открытый доступ информация включает имена, адреса электронной почты, номера телефонов, номера социального страхования и записи о вакцинации COVID-19. Эти сведения непреднамеренно были сделаны общедоступными для 47 различных компаний и государственных структур, использующих платформу Microsoft Power Apps. Однако свидетельств использования этих данных нет, и основная проблема уже устранена Microsoft.
Проблема была обнаружена ещё в мае исследовательской группой UpGuard. В нескольких публикациях компания пояснила, как организации, использующие Power Apps, создавали приложения с неправильными разрешениями на доступ к данным.
«Мы обнаружили одно из этих [приложений], которое было неправильно настроено для доступа к данным, и подумали, мы никогда об этом не слышали, это разовая проблема или это системная проблема?», — сообщил вице-президент по кибер-исследованиям UpGuard Грег Поллок. «Благодаря особенностям работы продукта порталов Power Apps очень легко быстро провести опрос. И мы обнаружили, что их очень много. Это было дико».
При помощи Microsoft Power Apps компании могут создавать простые приложения и сайты без формального опыта программирования. Компании и организации, поневоле ставшими причастными к раскрытию данных, включают Ford, American Airlines, J.B. Hunt, правительственные учреждения в Мэриленде, Нью-Йорке и Индиане. Как правило, они использовали сайт для сбора данных для различных целей, включая организацию мероприятий по вакцинации. Power Apps предлагает инструменты для быстрого сопоставления данных, необходимых в этих проектах, но по умолчанию оставляет эту информацию общедоступной. Именно эту неприятную особенность настроек по умолчанию обнаружили специалисты UpGuard.
Механизм этого конкретного случая интересен, поскольку он стирает грань между тем, что является уязвимостью программного обеспечения, и тем, что является просто плохим выбором в дизайне пользовательского интерфейса. UpGuard утверждает, что позиция Microsoft заключается в том, что это не было уязвимостью, поскольку это была ошибка пользователей в неправильной настройке разрешений приложений. Но, возможно, при создании приложения, предназначенного для использования людьми с небольшим опытом программирования, следует сделать настройки максимально безопасными по умолчанию. Microsoft уже изменила настройки разрешений по умолчанию, отвечающие за раскрытие данных.
Источник: The Verge