Este grave problema foi descoberto originalmente em maio pela equipa de pesquisa de segurança da UpGuard. Numa publicação no blog da UpGuard e num relatório da Wired, a empresa explica como as organizações que usavam a Power Apps criaram os aplicativos com as permissões de dados impróprios.
“Encontramos uma dessas aplicações que estava configurada incorretamente para expor dados e pensamos, nunca ouvimos falar disso, é algo isolado ou é um problema sistêmico?” O vice-presidente da pesquisa cibernética da UpGuard, Greg Pollock, disse “Devido à forma como o produto dos portais Power Apps funciona, é muito fácil fazer uma pesquisa rapidamente e nessa mesma pesquisa descobrimos que existe toneladas delas expostas”.
A Power Apps permite às empresas criarem os seus aplicativos e sites facilmente sem terem uma experiência formal de codificação. As organizações implicadas na violação incluindo a Ford, American Airlines, JB Hunt e agências estaduais em Maryland, Nova York e Indiana usavam o site para recolher dados para vários fins, incluindo a organização de esforços de vacinação.
A Power Apps oferece ferramentas para comparar rapidamente o tipo de dados necessários nesses projetos, mas, por padrão, deixa essas informações acessíveis ao público.
O mecanismo dessa ‘violação’ é interessante, pois confunde a linha entre o que é uma vulnerabilidade de software e o que é meramente uma escolha errada no design da interface do utilizador.
A UpGuard diz que a Microsoft não considera isto uma vulnerabilidade, pois afirma que a culpa é dos utilizadores por não configurarem corretamente as permissões dos seus aplicativos. Segundo conseguimos apurar, a Microsoft alterou apesar de tudo agora as suas configurações de permissões padrão responsáveis por esta exposição.
Fonte: Upguard