Milioni di dati personali esposti da una cattiva configurazione di alcune Power Apps di Microsoft

castle 979597 1280

Una nuova falla informatica sarebbe stata scoperta dai ricercatori informatici, e riguardarebbe l’uso della tecnologia di Microsoft delle Power Apps. Il rischio interessa varie aziende e multinazionali tra cui (secondo ArsTechnica) American Airlines, Ford, J.B. Hunt ed alcuni enti locali USA (tra cui una scuola). Una semplice configurazione errata che, alla lunga, avrebbe potuto portare danni ancora maggiori.

Ad essere esposti pubblicamente e teoricamente a rischio ben 38 milioni di record, che includono informazioni di contact tracing, appuntamenti per il vaccino per il Covid-19, codici fiscali ed indirizzi email. Questa l’entità  di questo ennesimo leak questa volta in grado di colpire alcune Power Apps di Microsoft, una suite di librerie utilizzabili in modo modulare per creare applicazioni di vario genere. Microsoft Power Apps, più nello specifico (e per chi non ne sapesse nulla a riguardo) è un prodotto in grado di creare app di business intelligence senza maneggiare codice a basso livello e mediante tecnologia cloud.

I portali di Power Apps sono gli strumenti più utilizzati in questo ambito, e permettono di creare portali web pubblici per offrire accesso ai dati agli interessati, mediante moduli di autenticazione e login, trattamento dei dati, elaborazione e cosଠvia. Una delle principali opzioni delle Power Apps riguarda le cosiddettie API OData (Open Data Protocol), la tecnologia che permette di curare l’aspetto presentativo dei dati stessi. Il tutto funziona mediante un sofisticato sistema di gestione basato su vari livelli di accesso, ma c’è un problema: la protezione dei dati da occhi indiscreti avviene mediante una variabile booleana (del tipo 0 / 1 oppure on / off), che evidentemente è rimasta settata su 0 per errore. Ciò ha provocato che tutti i dati fossero esposti in modo indiscriminato, con la possibilità  di accesso ad utenti anonimi da ogni parte del mondo.

Le attività  di ricerca in questo ambito erano già  iniziato qualche mese fa, da parte dei ricercatori della Upguard che, un po’ per volta, avevano rilevato varie istanze di Power Apps lasciate pubblicamente accessibili per via di questa impostazione invertita. Sembra che non ci siano dati compromessi, se non altro, ma resta il fatto che gli stessi sono stati pubblicamente accessibili per un po’ di tempo.

Il bug risulta essere stato già  corretto prima dell’uscita ufficiale della notizia, per la cronaca.

(Foto di kalhh da Pixabay, fonte)

SMSHosting Usa il codice PROMO per uno sconto sul primo acquisto: PRT96919


Questo blog pubblica contenuti ed offre servizi free da 10 anni. Per informazioni contattaci
Milioni di dati personali esposti da una cattiva configurazione di alcune Power Apps di Microsoft
Torna su