Cổng dịch vụ Microsoft Power Apps được thiết kế để giúp việc phát triển web hoặc ứng dụng di động dễ dàng hơn. Thật không may, sự cố về cài đặt bảo mật mặt định đã xảy ra khiến cho dữ liệu của 38 triệu người dùng đã bị rò rỉ.
Điều gì đã xảy ra với Microsoft Power Apps?
Theo như Upguard phát hiện và báo cáo bởi Wired, về cơ bản, cài đặt mặc định của Microsoft Power Apps đã bị chuyển sang chế độ công khai thay vì lưu trữ dữ liệu ở chế độ riêng tư. Điều này có nghĩa là bất kỳ ai muốn nhanh chóng thiết lập và chạy ứng dụng web với các API này sẽ cần phải kích hoạt việc bảo mật một cách thủ công, thay vị tự động như theo mặc định.
“Nhóm Nghiên cứu UpGuard, hiện các dữ liệu có thể bị rò rỉ do các cổng của Microsoft Power Apps đã được định cấu hình để cho phép truy cập công khai - đây là một lỗ hỗng dữ liệu mới” Upguard cho biết trong một bài đăng trên blog.
Microsoft Power Apps được sử dụng bởi nhiều công ty và cơ quan chính phủ. Vì trang web hoặc ứng dụng có thể hoạt động nhanh chóng và dễ dàng, nó được sử dụng khá thường xuyên như việc truy tìm thông tin liên hệ trong các ứng dụng COVID-19, biểu mẫu đăng ký vắc xin, v.v. Nền tảng này cũng phổ biến để lưu trữ các đơn xin việc và cơ sở dữ liệu nhân viên.
Những công cụ này có thể chứa các dữ liệu người dùng nhạy cảm và một số lượng lớn trong số chúng hiện không được bảo mật. Điều đó có nghĩa là dữ liệu như số điện thoại, địa chỉ nhà, số an sinh xã hội và tình trạng tiêm chủng Covid-19 có thể bị lộ với bất kỳ ai tình cờ tìm thấy chúng.
Một vài tổ chức đã bị ảnh hưởng bởi tình trạng này như American Airlines, Ford, JB Hunt, Bộ Y tế Maryland, Cơ quan Giao thông Vận tải Thành phố New York và các trường công lập Thành phố New York.
“Nhóm Nghiên cứu UpGuard, hiện các dữ liệu có thể bị rò rỉ do các cổng của Microsoft Power Apps đã được định cấu hình để cho phép truy cập công khai - đây là một lỗ hỗng dữ liệu mới” Upguard cho biết trong một bài đăng trên blog.
Microsoft Power Apps được sử dụng bởi nhiều công ty và cơ quan chính phủ. Vì trang web hoặc ứng dụng có thể hoạt động nhanh chóng và dễ dàng, nó được sử dụng khá thường xuyên như việc truy tìm thông tin liên hệ trong các ứng dụng COVID-19, biểu mẫu đăng ký vắc xin, v.v. Nền tảng này cũng phổ biến để lưu trữ các đơn xin việc và cơ sở dữ liệu nhân viên.
Những công cụ này có thể chứa các dữ liệu người dùng nhạy cảm và một số lượng lớn trong số chúng hiện không được bảo mật. Điều đó có nghĩa là dữ liệu như số điện thoại, địa chỉ nhà, số an sinh xã hội và tình trạng tiêm chủng Covid-19 có thể bị lộ với bất kỳ ai tình cờ tìm thấy chúng.
Một vài tổ chức đã bị ảnh hưởng bởi tình trạng này như American Airlines, Ford, JB Hunt, Bộ Y tế Maryland, Cơ quan Giao thông Vận tải Thành phố New York và các trường công lập Thành phố New York.
Đã được sửa lỗi chưa ?
May mắn thay, Microsoft đã giải quyết được tình hình này. Công ty hiện đã thực hiện việc đặt các dữ liệu API và thông tin khác ở chế độ riêng tư như mặc định ban đầu của cài đặt. Các nhà phát triển sẽ cần phải thay đổi cài đặt một cách thủ công nếu muốn công khai dữ liệu.
Các nhà phát triển luôn luôn có dữ liệu muốn công khai cho người dùng, vì vậy họ sẽ phải thực hiện thêm một bước nữa là chọn lọc dữ liệu thay vì cố gắng ẩn các dữ liệu riêng tư đi. Đây chắc chắn là một cách tốt hơn cho những người sử dụng các ứng dụng web này, vì nó cho phép họ yên tâm rằng dữ liệu cá nhân của họ được giữ bí mật. Tuy nhiên, thiệt hại của sự cố này vẫn còn. Và chúng ta sẽ cần phải đợi xem nó sẽ gây ra những thiệt hại như thế nào trong thời gian sắp tới.
Các nhà phát triển luôn luôn có dữ liệu muốn công khai cho người dùng, vì vậy họ sẽ phải thực hiện thêm một bước nữa là chọn lọc dữ liệu thay vì cố gắng ẩn các dữ liệu riêng tư đi. Đây chắc chắn là một cách tốt hơn cho những người sử dụng các ứng dụng web này, vì nó cho phép họ yên tâm rằng dữ liệu cá nhân của họ được giữ bí mật. Tuy nhiên, thiệt hại của sự cố này vẫn còn. Và chúng ta sẽ cần phải đợi xem nó sẽ gây ra những thiệt hại như thế nào trong thời gian sắp tới.
Xem thêm:
Biên tập và dịch: Võ Trung Nam
Nguồn: How-to Geek
Nguồn: How-to Geek
