Nástroje Power Apps od Microsoftu až donedávna trpeli pomerne kurióznou chybou, ktorá viedla k úniku citlivých údajov o až 38 miliónoch užívateľoch. Tieto údaje mali zahŕňať mená, e-mailové adresy, telefónne čísla a dokonca aj covidové informácie týkajúce sa očkovania, informuje server The Verge.
Power Apps od spoločnosti Microsoft sú nástroje používané na tvorbu webových aplikácií. Vyznačujú sa predovšetkým svojou jednoduchosťou, nakoľko prichádzajú so sadou prednastavených šablón a navyše nevyžadujú žiadne pokročilé znalosti v oblasti programovania.
Za všetko mohlo jedno nastavenie
Chyba postihla viacero známych spoločností, vrátane Ford, American Airlines či J.B. Hunt, no taktiež aj vládne agentúry v Marylande, New Yorku a Indiane. Všetky uvedené organizácie používali nástroje na zhromažďovanie dát potrebných pre realizáciu rôznych projektov. Pochopiteľne, tieto dáta mali ostať v súkromí, no práve tu nastal problém. Štandardne boli totiž Power Apps nastavené tak, že ponechávali tieto informácie verejne prístupné. Prakticky sa tak k ním mohol dostať ktokoľvek, uvádza spoločnosť UpGuard, ktorá chybu pôvodne odhalila ešte v máji.
UpGuard odhalil jednu aplikáciu, ktorá bola nesprávne nakonfigurovaná tak, aby verejne odhaľovala citlivé údaje. V tom momente nevedela, či ide len o jednorazovú záležitosť alebo je problém rozsiahly. Vykonala teda prieskum, ktorý zistil, že problém je skutočne rozsiahly a viedol k úniku citlivých údajov o desiatkách miliónoch užívateľoch.
Microsoft zastáva názor, že na vine sú užívatelia. Chybu už stihol opraviť
Ťažko povedať, či ide o chybu alebo len o nedomyslené riešenie používateľského rozhrania. Podľa UpGuard je Microsoft toho názoru, že na vine sú užívatelia, ktorí nesprávne nakonfigurovali povolenia aplikácie. No na druhú stranu, prečo službu nenavrhnúť rovno tak, aby bola čo najbezpečnejšia, najmä keď je určená pre ľudí s nízkymi alebo žiadnymi skúsenosťami v programovaní? Na túto otázku nedokáže odpovedať asi nikto.
Aj napriek svojmu postoju však Microsoft „chybu“ napravil, respektíve zmenil štandardné nastavenie tak, aby sa podobný únik citlivých údajov už neopakoval, píše Wired. Ďalšou dobrou správou je, že zatiaľ nebol zaznamenaný žiadny prípad zneužitia zverejnených údajov.
