Microsoft Power Apps: tante imprese condividevano inconsapevolmente dati sensibili

Microsoft Power Apps è un prodotto per sviluppare app per la business intelligence evitando di lavorare direttamente sul codice.
Il funzionamento delle applicazioni Power Apps è interamente basato sul cloud e gli utenti del servizio possono abilitare meccanismi di autenticazione, moduli per l’inserimento dei dati da parte degli utenti, logiche per la trasformazione dei dati, strumenti di archiviazione dei dati strutturati e API per recuperare le informazioni da altre applicazioni.
Con Power Apps è infine possibile creare un portale che funge da interfaccia web pubblica per interagire con le applicazioni. Un’azienda o un ente possono utilizzare un portale per interfacciarsi con clienti, partner di vendita, dipendenti o cittadini.

Una delle opzioni di Power Apps consiste nella possibilità di usare le API OData (Open Data Protocol) per recuperare i dati ed esporli nelle pagine dei portali.
Le tabelle dalle quali i dati sono tratti devono però essere correttamente protette: in Power Apps è necessario configurare le autorizzazioni attivando anche l’opzione Enable Table Permissions.
Se queste configurazioni non sono impostate e il feed OData è abilitato gli utenti anonimi possono accedere liberamente ai dati senza effettuare alcun tipo di autenticazione.

Gli esperti di UpGuard si sono accorti che almeno 38 milioni di record provenienti da applicazioni Power Apps risultavano pubblicamente esposti in rete e quindi alla mercé di chiunque.
Come spiega UpGuard la condivisione pubblica dei dati sarebbe stata causa da un’eccessiva superficialità da parte dei responsabili IT di molte aziende ed enti pubblici di primo livello. Al momento vengono citate essenzialmente realtà nordamericane ma non si esclude che il problema sia più ampio.

UpGuard ha rilevato il problema nei mesi scorsi segnalando la cosa a Microsoft che a giugno 2021, come viene rivelato oggi, è intervenuta modificando il comportamento di Power Apps.
L’azienda di Redmond ha apportato delle modifiche ai portali Power Apps in modo tale che le autorizzazioni per le tabelle siano abilitate per impostazione predefinita.

Microsoft ha inoltre rilasciato uno strumento per il controllo dei portali Power Apps e ha pianificato modifiche al prodotto in modo che i permessi delle tabelle siano applicati di default. Le configurazioni delle tabelle possono ancora essere impostate per consentire l’accesso anonimo ma l’abilitazione predefinita delle autorizzazioni ridurrà notevolmente il rischio dell’utilizzo di configurazioni errate.

Per diagnosticare eventuali problemi di configurazione è stato messo a disposizione degli utenti Portal Checker che può essere utilizzato per rilevare i dati accessibili senza alcun tipo di autenticazione.

Le aziende di tecnologia, spiega UpGuard, dovrebbero sempre muoversi con i piedi di piombo e soppesare bene il rilascio di strumenti che facilitano la condivisione dei dati analizzando tutte le possibili implicazioni. Man mano che più informazioni vengono spostate sul cloud aumenta la frequenza con cui i dati sensibili vengono resi disponibili al pubblico.
Nella sua analisi UpGuard snocciola tutte le tipologie di dati riservati che molte imprese ed enti di primo piano avevano erroneamente reso accessibili da parte di chiunque.