Araştırmacılara göre, Microsoft’un Power Apps platformunu kullanan bin web uygulamasının kuzeyinden yaklaşık 38 milyon kayıt çevrimiçi olarak açıkta bırakıldı. Kayıtların COVID-19 temaslı izleme çabalarından, aşı kayıtlarından ve ev adresleri, telefon numaraları, sosyal güvenlik numaraları ve aşı durumu gibi çalışan veritabanlarından elde edilen verileri içerdiği söyleniyor.
Bazı büyük şirketlerden ve Wired’a göre American Airlines, Ford, Indiana Sağlık Departmanı ve New York City devlet okulları da dahil olmak üzere kurumlar olayda açığa çıktı. Güvenlik açığı büyük ölçüde çözüldü.
Güvenlik şirketi Upguard’ın araştırmacıları, Mayıs ayında sorunu araştırmaya başladı. Nereye bakacaklarını bilen herkesin erişebileceği, özel olması gereken birçok Power Apps verisini buldular.
Power Apps hizmeti, müşterilerin kendi web ve mobil uygulamalarını oluşturmalarını kolaylaştırmayı amaçlar. Geliştiricilerin topladıkları verilerle kullanmaları için uygulama programlama arayüzleri (API’ler) sunar. Ancak Upguard, bu API’lerin kullanılmasının Power Apps aracılığıyla elde edilen verileri varsayılan olarak herkese açık hale getirdiğini ve bilgileri gizli tutmak için manuel yeniden yapılandırmanın gerekli olduğunu buldu.
Upguard, Microsoft Güvenlik Kaynak Merkezi’ne bir güvenlik açığı raporu gönderdiğini söylüyor. 24 Haziran’da, hassas verilerin açığa çıktığı Power Apps hesaplarına bağlantılar ve verilere anonim erişim sağlayan API’leri belirleme adımları dahil. Araştırmacılar, sorunun nasıl yeniden oluşturulacağını netleştirmek için Microsoft ile birlikte çalıştı. Ancak bir Microsoft analisti firmaya 29 Haziran’da davanın kapatıldığını ve “bu davranışın tasarım gereği olarak kabul edildiğini belirlediklerini” söyledi.
Upguard daha sonra etkilenen bazı şirket ve kuruluşlara bildirimde bulunmaya başladı, bu da verilerini kilitlemek için hareket etti. 15 Temmuz’da Microsoft ile bir kötüye kullanım raporu gündeme getirdi. 19 Temmuz’a kadar şirket, en hassas bilgiler de dahil olmak üzere söz konusu Power Apps’teki verilerin çoğunun özel hale getirildiğini söylüyor. Engadget, yorum için Microsoft ile iletişime geçti.
Bu ayın başlarında Microsoft, geliştiriciler API’leri kullandığında Power Apps’in verileri varsayılan olarak gizli tutacağını söyledi. Ayrıca, geliştiricilerin Power Apps ayarlarını kontrol etmeleri için bir araç yayınladı.
Henüz açığa çıkan verilerden herhangi birinin güvenliğinin ihlal edildiğine dair bir gösterge yok. Upguard’a göre, açıkta kalan en hassas bilgiler arasında 332.000 e-posta adresi ve bordro için kullanılan Microsoft çalışan kimlikleri vardı. Şirket ayrıca, Microsoft Karma Gerçeklik ile ilgili portallardan, kullanıcıların adları ve e-posta adresleri de dahil olmak üzere 39.000’den fazla kaydın ifşa edildiğini söylüyor.
Olay, ne kadar önemsiz görünürse görünsün bir yanlış yapılandırmanın gerçekleşebileceğinin altını çiziyor. ciddi veri ihlallerine yol açar. Neyse ki burada durum böyle görünmüyor. Yine de, geliştiricilerin, özellikle de kendilerinin tasarlamadıkları bir API’yi takarken, ayarlarını muhtemelen üç kez kontrol etmeleri gerektiğini gösteriyor.