Narzędzie Microsoftu Power Apps jest wykorzystywane przez wiele znanych firm, między innymi do zarządzania wewnętrznymi bazami danych czy łatwego tworzenia aplikacji sieciowych bądź mobilnych. Odnaleziono w nim pewien problem, który doprowadził do przypadkowego ujawnienia 38 milionów zapisów danych. Wśród upublicznionych danych znajdowały się adresy e-mail i hasła, a także między innymi informacje związane z zapisami na szczepienie na COVID-19 czy śledzeniem kontaktów między osobami potencjalnie zarażonymi.
Wszystko przez ustawienie, które domyślnie upubliczniało dane
Wyciek zauważyła firma zajmująca się cyberbezpieczeństwem UpGuard, która zaczęła badać go w maju tego roku. Problem dotknął między innymi takie firmy, jak American Airlines, Ford czy J.B. Hunt. Upublicznione zostały także informacje zgromadzone przez niektóre instytucje publiczne, takie jak pewne szkoły z Nowego Jorku czy Departament Zdrowia stanu Maryland. Ogółem mówiąc, ujawniono przypadkowo 38 milionów zapisów danych, a więc niemało. Jak wspomniano powyżej, były to w wielu przypadkach dane bardzo wrażliwe i takie, które w niepowołanych rękach mogłyby wyrządzić sporo szkód.
Z tego, co obecnie wiadomo, problem został rozwiązany i na razie nic nie wskazuje na to, aby faktycznie ktoś ze złymi zamiarami zauważył ten problem i na nim skorzystał. A o co dokładnie chodzi w tym problemie? Otóż, poza narzędziami do tworzenia aplikacji, Microsoft Power Apps daje dostęp także do gotowych interfejsów programowania. Problem w tym, że przy włączaniu API wszystkie wykorzystywane dane domyślnie stawały się publiczne, a ustawić je jako prywatne trzeba było ręcznie – czego wiele firm, jak widać nawet bardzo dużych, nie zrobiło.
Kiedy analitycy UpGuard to odkryli, zgłosili sprawę Microsoftowi. Trzeba wskazać, że w dowolnej chwili którakolwiek z firm dotkniętych problemem mogła sama sprawdzić swoje ustawienia i rozwiązać problem. Jednak Greg Pollock z UpGuard podkreśla, że na firmach dostarczających usługi związane z bazami danych ciąży odpowiedzialność, aby chronić użytkowników – w tym przed ich własną nieostrożnością. Podobnie wypowiadają się inni eksperci.
Bezpieczne ustawienia domyślne mają znaczenie. Kiedy w systemach internetowych zbudowanych przy użyciu określonej technologii, które ciągle są błędnie skonfigurowane, pojawia się wzorzec, coś jest bardzo nie tak. Jeśli programiści z różnych branż i środowisk technicznych nadal popełniają te same błędy na platformie, w centrum uwagi powinien znajdować się twórca tej platformy – Kenn White, dyrektor Open Crypto Audit Project
Teraz dane są domyślnie prywatne, tak jak w innych podobnych narzędziach
Microsoft ogłosił, że dane przesyłane przez API (i ogółem wszystkie dane) w Power Apps będą teraz domyślnie ustawiane jako prywatne, a ich upublicznianie będzie procesem manualnym. Nie jest to nietypowe w branży, a przeciwnie.
Wiele dużych platform chmurowych, takich jak Amazon Web Services, Google Cloud Platform czy… Microsoft Azure, a więc inny produkt Microsoftu, domyślnie utajnia dane. Nie oznacza to jednak, że w ich przypadku również nie zdarzają się wpadki. W 2017 roku okazało się, że przypadkiem upubliczniono dane 198 milionów amerykańskich wyborców, nie z powodu ataku hakerów, a właśnie złego ustawienia bazy danych na serwerze Amazona.
Co o tym wszystkim sądzicie? Uważacie, że wina leży tylko po stronie firm, które nie zmieniły ustawień prywatności, tylko po stronie Microsoftu, a może częściowo po jednej, a częściowo po drugiej? Koniecznie dajcie znać w komentarzach!
WARTO PRZECZYTAĆ:
Microsoft Defender oznaczył… Microsoft Office jako wirusa
Xbox Game Pass: gracze dostali 2 gry bez zapowiedzi
Wkrótce trzydniowy tydzień pracy? Według Billa Gatesa to możliwe