Ошибка настроек Microsoft Power Apps приводит к утечке персданных

[KL FC Bot]

Каковы причины утечек персональных данных, собираемых компаниями? Иногда их сливают инсайдеры, иногда причина в целенаправленном взломе, но чаще всего источником проблем служат неправильно сконфигурированные сервисы или программы. Еще раз об этом напомнили исследователи из компании UpGuard, обнаружившие практически в свободном доступе персональные данные 38 миллионов человек. Всему виной — ошибка при конфигурации веб-приложений, созданных с помощью платформы Microsoft Power Apps. К счастью, злоумышленники, по всей видимости, не успели воспользоваться этой информацией.

Причина проблемы: неправильная конфигурация Power Apps

Платформа Microsoft Power Apps — это инструмент, благодаря которому компании могут быстро создавать приложения и веб-порталы, не вкладываясь в полноценную разработку. Платформа построена согласно принципу low-code (то есть она не требует написания программного кода как такового). На официальном сайте можно найти отзывы клиентов, которые рассказывают, как это здорово — иметь возможность превратить в реальность любую идею, не имея опыта в IT и программировании.

По большому счету, в этом и состоит корень проблемы: приложения создавались людьми не только без опыта в IT, но и не обращающими должного внимания на информационную безопасность. Исследователи нашли 47 компаний и правительственных учреждений, которые создавали при помощи Power Apps инструменты, служащие для сбора персональных данных. Вот только их создатели не посчитали важным изучить все доступные настройки.

Если не вдаваться в длинное техническое объяснение, платформа Power Apps позволяет создавать инструменты как для сбора данных, так и для обмена данными. Информация хранится в таблицах, и создатель приложения может управлять доступом к этим таблицам. По умолчанию эти разрешения были отключены, что, с одной стороны, облегчало совместное использование, но с другой — означало, что таблицы были общедоступными. Именно поэтому собранная информация могла быть видна посторонним лицам вне компании.

 

View the full article