Secondo i ricercatori, un problema di configurazione con una popolare piattaforma di sviluppo Microsoft ha esposto decine di milioni di record sensibili dei clienti, inclusi quelli contenenti informazioni sul COVID-19.
Microsoft Power Apps consente agli “sviluppatori cittadini” di creare app mobili e basate sul Web per le proprie attività.
Tuttavia, un team di UpGuard ha scoperto che il portale per la piattaforma è stato configurato per consentire l’accesso pubblico in molti casi, esponendo almeno 38 milioni di record.
Il problema deriva dalle API Open Data Protocol (OData) per il recupero dei dati dagli elenchi di Power Apps. Questa è la configurazione utilizzata per “esporre i record per la visualizzazione sui portali”.
“Gli elenchi estraggono i dati dalle tabelle e la limitazione dell’accesso ai dati dell’elenco che un utente può vedere richiede l’abilitazione dei permessi delle tabelle“, ha spiegato UpGuard.
“’Per proteggere un elenco, è necessario configurare i permessi della tabella per la tabella per cui vengono visualizzati i record e impostare anche il valore booleano Abilita permessi della tabella sul record dell’elenco su true.’ Se tali configurazioni non sono impostate e il feed OData è abilitato, gli utenti anonimi possono accedere liberamente ai dati dell’elenco.
UpGuard ha dichiarato di aver scoperto per la prima volta il problema della privacy a maggio. Tuttavia, dopo aver assicurato un cliente, si è chiesto se altri avessero elenchi impostati per l’accesso anonimo tramite API di feed OData, esponendo dati sensibili.
UpGuard ha affermato di aver trovato oltre un migliaio di elenchi accessibili in modo anonimo su diverse centinaia di portali. Tra le organizzazioni esposte in questo modo c’erano American Airlines, Ford e diversi enti del settore pubblico.
“Tra gli esempi di dati sensibili esposti tramite le API OData c’erano tre portali Power Apps utilizzati da entità governative americane per tracciare il tracciamento o la vaccinazione di COVID-19 e un portale con i dati dei candidati al lavoro, inclusi i numeri di previdenza sociale”, ha affermato UpGuard.
Alla fine Microsoft ha risposto informando i clienti del governo del problema e mettendo in atto diverse mitigazioni per ridurre la probabilità di errori di configurazione accidentali.