Microsoft’un bir uygulama geliştirme aracındaki varsayılan izin ayarları, çevrimiçi olarak 38 milyon kişinin verilerini ifşa etmekle suçlandı. İsimler, e-posta adresleri, telefon numaraları, sosyal güvenlik numaraları ve COVID-19 aşı randevuları gibi bilgiler, Microsoft’un Power Apps platformunu kullanan 47 farklı şirket ve devlet kurumu tarafından yanlışlıkla kamuya açık hale getirildi. Yine de, verilerin kötüye kullanıldığına dair bir kanıt yok ve altta yatan sorun şimdi Microsoft tarafından düzeltildi.
Sorun ilk olarak Mayıs ayında güvenlik araştırma ekibi UpGuard tarafından keşfedildi. UpGuard’ın yakın tarihli bir blog gönderisinde ve Wired’ın raporunda şirket, Power Apps kullanan kuruluşların uygunsuz veri izinleriyle uygulamaları nasıl oluşturduğunu açıklıyor.
“Verileri açığa çıkarmak için yanlış yapılandırılmış bu [uygulamalardan] birini bulduk ve düşündük, bunu hiç duymadık, bu tek seferlik bir şey mi yoksa bu sistemle ilgili bir sorun mu?” UpGuard’ın siber araştırma başkan yardımcısı Greg Pollock, Wired’a söyledi. “Power Apps portalları ürününün çalışma şekli nedeniyle, hızlı bir şekilde anket yapmak çok kolay. Ve bunlardan açığa çıkan tonlarca olduğunu keşfettik. Vahşiydi.”
“Bunlardan açığa çıkan tonlarca olduğunu keşfettik. Vahşiydi.”
Power Apps, şirketlerin resmi kodlama deneyimi olmadan basit uygulamalar ve web siteleri oluşturmasına olanak tanır. Ford, American Airlines, J.B. Hunt ve Maryland, New York City ve Indiana’daki devlet kurumları da dahil olmak üzere ihlale karışan kuruluşlar, aşı çalışmalarını organize etmek de dahil olmak üzere çeşitli amaçlarla veri toplamak için siteyi kullanıyordu. Power Apps, bu projelerde ihtiyaç duyulan veri türünü hızlı bir şekilde harmanlamak için araçlar sunar, ancak varsayılan olarak bu bilgileri herkesin erişimine açık bırakır. UpGuard’ın keşfettiği maruz kalma budur.
Bu özel “ihlalin” mekanizması ilginçtir, çünkü neyin yazılım açığı olduğu ile kullanıcı arayüzü tasarımında neyin kötü bir seçim olduğu arasındaki çizgiyi bulanıklaştırır. UpGuard, Microsoft’un pozisyonunun, uygulamaların izinlerini doğru şekilde yapılandırmamanın kullanıcıların hatası olduğu için bunun bir güvenlik açığı olmadığı yönünde olduğunu söylüyor. Ancak, muhtemelen, kodlama deneyimi az olan kişiler tarafından kullanılmak üzere tasarlanmış bir uygulama yapıyorsanız, varsayılan olarak işleri olabildiğince güvenli hale getirmek akıllıca bir hareket gibi görünebilir. Wired tarafından bildirildiği üzere, Microsoft artık ifşadan sorumlu olan varsayılan izin ayarlarını değiştirmiştir.
