Quasi 40 milioni di record trapelati a causa di impostazioni scadenti delle app di alimentazione
I ricercatori di sicurezza hanno scoperto che circa 38 milioni di record di dati sono stati esposti online. La perdita di dati è stata causata da istanze mal configurate di Microsoft Power Apps. I dati trapelati includono informazioni sulla vaccinazione Covid, e-mail e numeri di previdenza sociale.
Wired segnala che i dati archiviati da grandi aziende sono stati esposti online. I nomi delle entità che perdevano record a causa di problemi di configurazione includono le scuole pubbliche della città di New York, il dipartimento sanitario dello stato dell'Indiana, nonché American Airlines e il produttore di veicoli Ford.
La perdita è stata scoperta dai ricercatori che lavorano con la società di sicurezza Upguard, che ha iniziato le loro indagini pochi mesi fa. Il risultato finale è stato che i dati che perdono, sebbene presumibilmente protetti, erano pubblicamente accessibili a chiunque su Internet.
Il problema è stato causato dal fatto che le API di Power App rendono pubblici i dati raccolti utilizzando l'API quando si usano le impostazioni predefinite. Se il proprietario del rispettivo portale dell'app desidera che queste informazioni siano adeguatamente protette, dovrebbe riconfigurare l'API e l'app utilizzate per rendere i dati sicuri e privati.
I ricercatori coinvolti nell'indagine hanno informato Microsoft del problema, inviando collegamenti ai portali specifici di Power App che perdevano dati. In modo un po' confuso, dopo un breve scambio con Microsoft, ai ricercatori è stato detto che il problema era stato risolto, poiché questo comportamento era considerato "by design".
I ricercatori Upguard hanno quindi contattato le singole società ed entità interessate dal problema di configurazione predefinita. Nel giro di pochi giorni, la stragrande maggioranza delle istanze perse di Power Apps è stata protetta correttamente e il problema è stato effettivamente risolto.
Microsoft ha dichiarato che ora chiunque utilizzi i portali di Power Apps avrà i dati raccolti protetti e impostati su privati per impostazione predefinita. Inoltre, la società di software ha rilasciato uno strumento speciale, progettato per aiutare i clienti a controllare facilmente la privacy dei dati di Power Apps.
Non ci sono informazioni o prove che i dati fuoriusciti siano stati raschiati o altrimenti abusati da attori malintenzionati finora.
L'incidente non ha portato a nulla di simile a un disastro dei dati, ma mostra comunque che anche una semplice svista e l'affidabilità delle impostazioni predefinite in uno strumento con cui non si ha piena familiarità possono portare a potenziali rischi e problemi di sicurezza dei dati.
