Προσθήκη σχολίου (3 σχόλια)

Στις προεπιλεγμένες ρυθμίσεις δικαιωμάτων (προνομίων) σε ένα εργαλείο ανάπτυξης εφαρμογών της Microsoft οφείλεται σύμφωνα με πληροφορίες η διαρροή των προσωπικών δεδομένων online σχεδόν 38 εκατομμυρίων ανθρώπων.

Πληροφορίες συμπεριλαμβανομένων ονομάτων, διευθύνσεων ηλεκτρονικού ταχυδρομείου, τηλεφωνικών αριθμών, αριθμών κοινωνικής ασφάλισης ή ακόμα και των ραντεβού για εμβολιασμό με κάποιο εμβόλιο κατά της ασθένειας COVID-19 βρέθηκαν σε δημόσια θέα από 47 διαφορετικές εταιρείες και κυβερνητικές υπηρεσίες και οργανισμούς που χρησιμοποιούσαν την πλατφόρμα Power Apps της Microsoft. Για την ώρα δεν υπάρχουν στοιχεία ότι εξωτερικοί παράγοντες εκμεταλλευόμενοι το κενό ασφαλείας απέκτησαν πρόσβαση στα προσωπικά στοιχεία των χρηστών ενώ και η Microsoft κατάφερε να επιδιορθώσει το πρόβλημα.

Το κενό ασφαλείας φαίνεται να έγινε αντιληπτό πρώτα από την εταιρεία ασφαλείας UpGuard τον περασμένο Μάϊο. Σε μία πρόσφατη ανάρτηση στο επίσημο blog της UpGuard, η εταιρεία εξηγεί πως οι οργανισμοί που χρησιμοποιούν την πλατφόρμα της Microsoft, Power Apps, δημιούργησαν εφαρμογές με ακατάλληλα δικαιώματα για τα δεδομένα.

«Ανακαλύψαμε μία από αυτές (τις εφαρμογές) που ήταν κακορυθμισμένη για να εκθέτει δεδομένα και σκεφτήκαμε, ότι δεν έχουμε ξανακούσει κάτι τέτοιο, πρόκειται για μία περίπτωση ή πρόκειται για κάποιο συστημικό ζήτημα;» δήλωσε ο Vice President of Cyber Research της UpGuard, Greg Pollock στην ιστοσελίδα Wired. «Εξαιτίας του τρόπου που λειτουργεί το portal της πλατφόρμας Power Apps, ήταν εξαιρετικά απλό να διεξάγουμε μία έρευνα για να ανακαλύψουμε ότι είχαν εκτεθεί πάρα πολλά (δεδομένα). Ήταν τρελό» συμπλήρωσε ο Greg Pollock.

Η πλατφόρμα Power Apps επιτρέπει σε εταιρείες να δημιουργούν απλές εφαρμογές και ιστοσελίδες χωρίς να υπάρχει προηγούμενη εμπειρία προγραμματισμού. Οι οργανισμοί που εμπλέκονται στην διαρροή - συμπεριλαμβανομένων των Ford, American Airlines, J.B. Hunt και κρατικών υπηρεσιών σε Maryland, New York City και Indiana - χρησιμοποιούσαν την ιστοσελίδα για να συλλέξουν δεδομένα για διάφορους σκοπούς, συμπεριλαμβανομένης μίας οργανωμένης εκστρατείας εμβολιασμού. Η πλατφόρμα Power Apps προσφέρει εργαλεία για τη γρήγορη συλλογή των δεδομένων που απαιτούνται σε τέτοιου είδους εγχειρήματα, αλλά δυστυχώς από προεπιλογή άφηνε αυτές τις πληροφορίες δημόσια εκτεθειμένες και προσβάσιμες. Αυτό ανακάλυψε η εταιρεία UpGuard.

Ο μηχανισμός αυτής της συγκεκριμένης «παραβίασης» ή διαρροής έχει ιδιαίτερο ενδιαφέρον, καθώς όπως μπορείτε να καταλάβετε θολώνει το όρια μεταξύ του τι είναι ευπάθεια ή κενό ασφαλείας και τι είναι ένα κακοσχεδιασμένο περιβάλλον χρήσης. Η UpGuard για παράδειγμα υποστηρίζει ότι η Microsoft δεν ευθύνεται για την ευπάθεια καθώς οφείλεται σε λανθασμένη ρύθμιση/ διαμόρφωση των δικαιωμάτων των apps από όσους τις δημιούργησαν. Από την άλλη, όταν προσπαθείς να βοηθήσεις άτομα με μικρή εμπειρία στον προγραμματισμό να δημιουργήσουν εφαρμογές, τότε φροντίζεις να κάνεις τα πράγματα όσο το δυνατόν ασφαλέστερα από προεπιλογή. Όπως αναφέρθηκε και από το Wired, η Microsoft έχει πλέον αλλάξει τις προεπιλεγμένες ρυθμίσεις δικαιωμάτων που ανακαλύφθηκε ότι είχαν την ευθύνη για την έκθεση δεδομένων.