Microsoft의 Power Apps 포털 서비스는 웹 또는 모바일 앱을 보다 쉽게 개발할 수 있도록 설계되었습니다. 불행히도 기본 보안 설정 문제로 인해 3,800만 사용자의 데이터가 공개되어서는 안 될 때 공개되었습니다.
Microsoft Power Apps는 어떻게 되었습니까?
기본적으로 Microsoft Power Apps 플랫폼은 기본적으로 데이터를 비공개로 유지하는 대신 Upguard에서 발견하고 Wired에서 보고한 대로 데이터를 공개적으로 액세스할 수 있도록 설정했습니다. 불행히도 이것은 이러한 API를 사용하여 웹 앱을 빠르게 시작하고 실행하려는 사람은 그 반대가 아니라 수동으로 보안을 활성화해야 함을 의미했습니다.
Upguard는 블로그 게시물에서 “UpGuard Research 팀은 이제 공개 액세스를 허용하도록 구성된 Microsoft Power Apps 포털에서 발생하는 여러 데이터 유출을 공개할 수 있습니다. 이는 데이터 노출의 새로운 벡터입니다.”라고 Upguard는 말했습니다.
Microsoft Power Apps는 다양한 회사와 정부 기관에서 사용됩니다. 웹사이트나 앱을 쉽고 빠르게 실행하기 때문에 접촉자 추적, 백신 가입 양식 등과 같은 COVID-19 도구에 꽤 자주 사용되었습니다. 이 플랫폼은 구직 지원 포털 및 직원 데이터베이스를 저장하는 데에도 널리 사용되었습니다.
이러한 도구에는 민감한 사용자 데이터가 포함될 수 있으며 충격적인 수의 도구에는 보안 조치가 설정되어 있지 않습니다. 이는 전화번호, 집 주소, 주민등록번호, 코로나19 예방접종 상태와 같은 데이터가 우연히 그들을 찾는 모든 사람에게 노출되었음을 의미합니다.
이 영향을 받은 조직의 몇 가지 예는 American Airlines, Ford, JB Hunt, Maryland Department of Health, New York City Municipal Transportation Authority 및 New York City 공립학교입니다.
수정 사항이 있습니까?
다행히도 이 상황은 Microsoft에서 이미 해결되었습니다. 회사는 이제 기본 설정에서 API 데이터 및 기타 정보를 공개적으로 사용할 수 없도록 설정했습니다. 대신 개발자는 이 설정을 수동으로 활성화해야 하며, 이는 아마도 첫날부터 그랬어야 할 방식일 것입니다.
개발자가 공개하기를 원하는 데이터는 항상 있으므로 숨기기 위해 추가 노력을 들이지 않고 선택 데이터를 사용할 수 있도록 하는 추가 단계를 거쳐야 합니다. 이것은 개인 데이터가 기밀로 유지된다는 확신을 가질 수 있기 때문에 이러한 웹 앱을 사용하는 사람들에게 확실히 더 나은 방법입니다. 그러나 이 경우 손해가 발생합니다. 우리는 그것이 얼마나 나쁜지 보려면 낙진을 기다려야 할 것입니다.
