Aplikacje utworzone w ramach Microsoft Power Apps mogą ujawniać dane osobowe

Nieprawidłowo skonfigurowane aplikacje utworzone za pomocą usługi Microsoft Power Apps narażają na wyciek miliony wpisów zawierających dane osobowe.

W jaki sposób informacje gromadzone przez firmy wpadają w niepowołane ręce? Czasami sprzedają je osoby zatrudnione w takich organizacjach, czasami do wycieku doprowadza włamanie o charakterze ukierunkowanym, ale najczęściej dane osobowe wydostają się na zewnątrz za pośrednictwem źle skonfigurowanych usług lub programów. Badacze z firmy UpGuard odkryli, że dane umożliwiające identyfikację 38 milionów ludzi zostały ujawnione. Źródłem wycieku jest część źle skonfigurowanych aplikacji internetowych, które zostały utworzone za pomocą platformy Microsoft Power Apps. Na szczęście wygląda na to, że nikt niepowołany nie uzyskał dostępu do tych informacji.

Błędna konfiguracja Power Apps

Power Apps firmy Microsoft to narzędzie, które pomaga firmom tworzyć aplikacje i portale internetowe bez konieczności dużych nakładów inwestycyjnych. Wykorzystuje ono zasadę użycia niewielkiej ilości kodu (nie wymaga pisania kodu jako takiego). Użytkownicy cieszą się, że mogą teraz wcielić dowolny pomysł w rzeczywistość, nawet nie posiadając doświadczenia w informatyce i programowaniu.

Ta prostota stanowi źródło wspomnianego problemu. Korzystając z pakietu Power Apps, ludzie, którzy nie tylko nie mają doświadczenia w IT, ale także ignorują zasady bezpieczeństwa informacji, stworzyli narzędzia, które nie były bezpieczne. Naukowcy odkryli, że z pakietu Power Apps skorzystało 47 firm i agencji rządowych — utworzone przez nie narzędzia zbierały dane osobowe, ale ich nie chroniły.

Podsumowując długie i raczej techniczne wyjaśnienie, Power Apps pozwala użytkownikom tworzyć narzędzia zarówno do udostępniania, jak i zbierania danych. W obu przypadkach dane są przechowywane w tabelach, a twórca danej aplikacji może włączyć opcję uzyskiwania do nich dostępu. Domyślnie uprawnienia te były wyłączone. Z jednej strony ułatwia to udostępnianie, z drugiej — skutkuje upublicznieniem tabel. Dlatego zebrane informacje stały się dostępne również na zewnątrz firmy.

Jak chronić dane swojej firmy i klientów przed wyciekami

Gdy badacze zgłosili wyciek, firma Microsoft zmieniła domyślne ustawienia platformy. Teraz, gdy ktoś tworzy nowy projekt zbierający dane osobowe, będą one w nim przechowywane tak, aby osoby postronne nie mogły uzyskać do nich dostępu. Jednak aplikacje i usługi internetowe utworzone przed aktualizacją firmy Microsoft nadal mogą stwarzać zagrożenie. Jeśli Twoja firma korzysta z usługi Microsoft Power Apps, dokładnie sprawdź wszystkie opcje konfiguracji, aby uniknąć tego rodzaju wycieku, zwłaszcza jeśli utworzone aplikacje zbierają i przechowują dane osobowe.

W rzeczywistości problem ten jest jednak znacznie szerszy. Power Apps nie jest jedyną platformą, która umożliwia użycie małej ilości kodu, a przy tym nie wymaga od ludzi posiadania wiedzy informatycznej, aby mogli oni tworzyć własne usługi, aplikacje i strony internetowe. W wielu przypadkach firmy używają tych narzędzi wyłącznie do zadań wewnętrznych, więc mogą one umknąć uwadze działom bezpieczeństwa. Tymczasem mogą zawierać luki w kodzie źródłowym, błędy występujące podczas integracji z innymi procesami biznesowymi lub, jak w tym przypadku, nieprawidłowe konfiguracje.

Dlatego jeśli Twoja firma korzysta z takich platform:

  • dokładnie sprawdź ustawienia bezpieczeństwa i prywatności zarówno w opublikowanych, jak i jeszcze nieopublikowanych aplikacjach,
  • edukuj działy bezpieczeństwa informacji na temat wykorzystania takich platform w procesach biznesowych,
  • zatrudnij ekspertów zewnętrznych (lub wewnętrznych specjalistów), aby ocenili poziom bezpieczeństwa.
Porady
Zapisz się, aby otrzymywać informacje o nowych artykułach
  • Dla pozostałych krajów