Tutti i prezzi sono validi al momento della pubblicazione. Se fai click o acquisti qualcosa, potremmo ricevere un compenso.

Microsoft Power Apps ha esposto milioni di dati personali per una semplice 'svista'

24 Agosto 2021 4

Non è frutto di un attacco hacker, e chiamarla vulnerabilità è eccessivo, si tratta piuttosto di una leggerezza nella progettazione di uno strumento software o - per leggere la vicenda diversamente - della poca attenzione con la quale alcuni utenti utilizzano uno strumento software. Da qualsiasi punto di vista si consideri la vicenda però il risultato non cambia: Power Apps di Microsoft ha esposto online i dati di circa 38 milioni di record a causa di una (pericolosa) impostazione predefinita dei permessi.

I dati, liberamente accessibili online, comprendevano: nomi, indirizzi e-mail, numeri di telefono, numeri di previdenza sociale e anche informazioni relative agli appuntamenti per le vaccinazioni Covid-19. Si trattava di record riconducibili ai database di 47 aziende ed enti governativi, tra cui Ford, American Airlines, JB Hunt, agenzie statali del Maryland, di New York e dell'Indiana. Fortunatamente non ci sono prove che i dati siano stati effettivamente acquisiti e sfruttati per fini malevoli e Microsoft è già intervenuta sul meccanismo che ha permesso l'esposizione.

È utile ricordare che Power Apps è una suite di app e servizi che offre un ambiente di sviluppo per creare app personalizzate per le esigenze aziendali. È quindi un tool destinato a chi non ha estese conoscenze in fatto di programmazione. Power Apps è utile a raccogliere tutte le informazioni necessarie, ad esempio, a gestire un sistema di prenotazioni di voli o degli appuntamenti per la vaccinazione, ma per impostazione predefinita lascia questi dati accessibili pubblicamente.

La scoperta è stata effettuata dagli esperti di UpGuard esaminando un'app creata con Power Apps e configurata in modo errato. Dopo gli opportuni approfondimenti si è concluso che non si trattava di un caso isolato, quanto di una circostanza ricorrente a tal punto da portare a prospettare - come poi si è accertato - che il problema fosse di tipo sistemico e non sporadico. Microsoft dal canto suo si è difesa sostenendo che non si trattava di una vulnerabilità e che la responsabilità ricade sugli utenti che non hanno configurato correttamente le autorizzazioni dell'app.

Indipendentemente dalla responsabilità, ora il sistemi dei permessi di Power Apps è stato rivisto e non prevede più l'accesso pubblico ai dati per default.


4

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...

Facile dare la colpa a chi programma le power apps.
Ci ho provato una volta... In pratica di programmazione non fai niente, si basa tutto solo su configurazioni (praticamente).
Ma poi non continua a funzionare perché mancano permessi per questo e permessi per quello. Per finire funziona e come ben si sa: "never touch a working system".

Queste power apps sono nate per facilitare la creazione di apps a chi non é programmatore. Come si fa poi a dare la colpa a chi le ha create?

Rick Deckard®

Anche perché sbagliano sempre gli stessi

Daniel

Vabbè - ricordiamoci che chi fa, sbaglia, e chi non fa niente..

Abbiamo rifatto la nostra workstation, ora è tutta ASUS ProArt!

Acer Predator, nuovi laptop in arrivo. C'è anche un monopattino! |VIDEO

Recensione Asus ROG Strix SCAR 18, una bomba con Intel Core i9 14th gen e RTX 4090

Che anno sarà il 2024? Le nostre previsioni sul mondo della tecnologia! | VIDEO