Una nuova falla informatica sarebbe stata scoperta dai ricercatori informatici, e riguardarebbe l’uso della tecnologia di Microsoft delle Power Apps. Il rischio interessa varie aziende e multinazionali tra cui (secondo ArsTechnica) American Airlines, Ford, J.B. Hunt ed alcuni enti locali USA (tra cui una scuola). Una semplice configurazione errata che, alla lunga, avrebbe potuto portare danni ancora maggiori.
Ad essere esposti pubblicamente e teoricamente a rischio ben 38 milioni di record, che includono informazioni di contact tracing, appuntamenti per il vaccino per il Covid-19, codici fiscali ed indirizzi email. Questa l’entità di questo ennesimo leak questa volta in grado di colpire alcune Power Apps di Microsoft, una suite di librerie utilizzabili in modo modulare per creare applicazioni di vario genere. Microsoft Power Apps, più nello specifico (e per chi non ne sapesse nulla a riguardo) è un prodotto in grado di creare app di business intelligence senza maneggiare codice a basso livello e mediante tecnologia cloud.
I portali di Power Apps sono gli strumenti più utilizzati in questo ambito, e permettono di creare portali web pubblici per offrire accesso ai dati agli interessati, mediante moduli di autenticazione e login, trattamento dei dati, elaborazione e cosଠvia. Una delle principali opzioni delle Power Apps riguarda le cosiddettie API OData (Open Data Protocol), la tecnologia che permette di curare l’aspetto presentativo dei dati stessi. Il tutto funziona mediante un sofisticato sistema di gestione basato su vari livelli di accesso, ma c’è un problema: la protezione dei dati da occhi indiscreti avviene mediante una variabile booleana (del tipo 0 / 1 oppure on / off), che evidentemente è rimasta settata su 0 per errore. Ciò ha provocato che tutti i dati fossero esposti in modo indiscriminato, con la possibilità di accesso ad utenti anonimi da ogni parte del mondo.
Le attività di ricerca in questo ambito erano già iniziato qualche mese fa, da parte dei ricercatori della Upguard che, un po’ per volta, avevano rilevato varie istanze di Power Apps lasciate pubblicamente accessibili per via di questa impostazione invertita. Sembra che non ci siano dati compromessi, se non altro, ma resta il fatto che gli stessi sono stati pubblicamente accessibili per un po’ di tempo.
Il bug risulta essere stato già corretto prima dell’uscita ufficiale della notizia, per la cronaca.
(Foto di kalhh da Pixabay, fonte)
Ingegnere per passione, consulente per necessità, docente di informatica; ho creato Trovalost.it e ho scritto quasi tutti i suoi contenuti. Ogni guida viene revisionata e aggiornata periodicamente. Per contatti clicca qui
