Verifique sus permisos: la herramienta de Microsoft tiene por defecto 38 millones de registros de usuarios en línea

Verifique sus permisos: la herramienta de Microsoft tiene por defecto 38 millones de registros de usuarios en línea

Configuración de permisos predeterminada en Microsoft App Builder El fue culpado Exponer los datos de 38 millones de personas en Internet. La información que incluye nombres, direcciones de correo electrónico, números de teléfono, números de seguro social y fechas de vacunación COVID-19 fue puesta a disposición inadvertidamente por 47 empresas y entidades gubernamentales diferentes que utilizan la plataforma Power Apps de Microsoft. Sin embargo, no hay evidencia de que los datos estén siendo explotados, y Microsoft ha solucionado el problema subyacente.

El problema fue descubierto originalmente en mayo por el equipo de investigación de seguridad de UpGuard. en los últimos días Entrada en el blog Desde UpGuard y informe de cableadoEn este artículo, la empresa explica cómo las organizaciones que utilizan Power Apps han creado aplicaciones con permisos de datos inapropiados.

Encontramos uno de estos [apps] Está mal configurado para detectar datos y pensamos, no habíamos oído hablar de eso antes, ¿se trata de algo único o es un problema sistémico? El vicepresidente de investigación cibernética de UpGuard, Greg Bullock, dijo cableado. «Debido a la forma en que funciona el producto del portal de Power Apps, es muy fácil hacer una encuesta rápida. Y descubrimos que había toneladas de estos expuestos. Eran increíbles».

Power Apps permite a las empresas crear aplicaciones y sitios web sencillos sin experiencia formal en codificación. Las organizaciones involucradas en la violación, incluidas Ford, American Airlines, JB Hunt y agencias gubernamentales en Maryland, Nueva York e Indiana, estaban utilizando el sitio para recopilar datos para diversos fines, incluida la organización de esfuerzos de vacunación. Power Apps ofrece herramientas para clasificar rápidamente el tipo de datos necesarios en estos proyectos, pero de forma predeterminada, esta información se deja disponible públicamente. Esta es la divulgación que descubrió UpGuard.

READ  El planificador de comidas Kitchenfull recauda $ 1.9 millones de VentureFriends, Goodwater Capital y Jabbar - TechCrunch

El mecanismo de esta «brecha» en particular es interesante, ya que difumina la línea entre lo que es una vulnerabilidad en el programa y lo que es simplemente una mala elección en el diseño de la interfaz de usuario. UpGuard dice que la posición de Microsoft es que esto no fue una vulnerabilidad porque fue culpa de los usuarios por no configurar correctamente los permisos de las aplicaciones. Pero, posiblemente, si está creando una aplicación diseñada para ser utilizada por personas con poca experiencia en codificación, hacer que las cosas sean lo más seguras posible de forma predeterminada parece una decisión inteligente. como reportado por cableadoMicrosoft ahora ha cambiado el archivo Configuración de permisos predeterminada responsable de la exposición.

Estaremos encantados de escuchar lo que piensas

Deje una respuesta

TOPPROFES.COM NIMMT AM ASSOCIATE-PROGRAMM VON AMAZON SERVICES LLC TEIL, EINEM PARTNER-WERBEPROGRAMM, DAS ENTWICKELT IST, UM DIE SITES MIT EINEM MITTEL ZU BIETEN WERBEGEBÜHREN IN UND IN VERBINDUNG MIT AMAZON.IT ZU VERDIENEN. AMAZON, DAS AMAZON-LOGO, AMAZONSUPPLY UND DAS AMAZONSUPPLY-LOGO SIND WARENZEICHEN VON AMAZON.IT, INC. ODER SEINE TOCHTERGESELLSCHAFTEN. ALS ASSOCIATE VON AMAZON VERDIENEN WIR PARTNERPROVISIONEN AUF BERECHTIGTE KÄUFE. DANKE, AMAZON, DASS SIE UNS HELFEN, UNSERE WEBSITEGEBÜHREN ZU BEZAHLEN! ALLE PRODUKTBILDER SIND EIGENTUM VON AMAZON.IT UND SEINEN VERKÄUFERN.
TopProfes