Microsoft tiek vainots pie 38 miljonu cilvēku datu publiskošanas tiešsaistē, kas ir noticis caur Power Apps noklusējuma atļauju iestatījumiem. 47 dažādas kompānijas un valdības iestādes, kas izmanto Microsoft Power Apps platformu, netīši publiskoja personu informāciju, tostarp vārdus, e-pasta adreses, tālruņu numurus, sociālās apdrošināšanas numurus un COVID-19 vakcināciju apmeklējumu pieteikumus. Labā ziņa ir tā, ka pagaidām vēl nav pierādījumu, ka kāds šos publiskotos datus būtu izmantojis ļaunprātīgi.
Šo problēmu maijā sākotnēji atklāja drošības izpētes komanda UpGuard. Nesenajā UpGuard bloga ierakstā un Wired ziņojumā uzņēmums paskaidro, kā organizācijas, kas izmanto Power Apps, ir izveidojušas lietotnes ar nepareizām datu atļaujām.
“Mēs atradām vienu no šīm [lietotnēm], kas bija nepareizi konfigurēta, tādējādi atklājot datus, un domājām, ka mēs par to nekad neesam dzirdējuši, vai tas ir bijis tikai vienreiz, vai tā ir sistēmiska problēma?” UpGuard kiberpētniecības viceprezidents Gregs Polloks pastāstīja izdevumam Wired. “Ņemot vērā to, kā Power Apps portāla produkts darbojas, ir ļoti viegli ātri veikt aptauju. Un mēs atklājām, ka ir neiedomājami daudz šādu kļūdu.”
Power Apps ļauj uzņēmumiem izveidot vienkāršas lietotnes un vietnes bez formālas kodēšanas pieredzes. Pārkāpumā iesaistītās organizācijas, tostarp Ford, American Airlines, J.B. Hunt un dažādas valsts iestādes, ir izmantojušas šo vietni, lai apkopotu datus dažādiem mērķiem, tostarp organizējot vakcinācijas pasākumus. Power Apps piedāvā dažādus rīkus, kas ļauj ātri apkopot šajos projektos nepieciešamos datus, taču izrādās, ka šī informācija pēc noklusējuma ir publiski pieejama ikvienam.
Šī konkrētā “pārkāpuma” mehānisms ir interesants, jo tas izgaismo robežu starp programmatūras ievainojamību un to, kas ir vienkārši slikta lietotāja saskarnes dizaina izvēle. UpGuard skaidro, ka Microsoft nostāja ir tāda, ka tā nebija ievainojamība, jo tā esot lietotāju vaina, kas nebija pareizi konfigurējuši lietotņu atļaujas. Bet, neapšaubāmi, ja tiek veidota lietotne, kas paredzēta lietošanai cilvēkiem ar tikai nelielu kodēšanas pieredzi, tad būtu sagaidāms, ka kompānija šo aplikāciju jau pēc noklusējuma būtu izveidojusi pēc iespējas drošāku. Kā ziņo Wired, Microsoft tagad ir mainījuši noklusējuma atļauju iestatījumus, kas ir atbildīgi par datu publiskošanu.