15 подписчиков
⚠️ Забыл поставить галочку = потерял данные. История главного антикейса сетевой безопасности последних лет
Недавно мы писали о случайном удалении данных из облака австралийского пенсионного фонда. Ситуация неприятная, но бывает еще хуже — когда проблема системная и незаметная. Как в случае с Power Apps в 2021 году.
Начало истории
Во время пандемии COVID-19 компании распробовали и полюбили no-code решения. Благодаря им специалисты без опыта в ИТ быстро запускали сайты и даже приложения. Это удобно для мастерских, салонов красоты и небольшого бизнеса в целом.
Одной из самых популярных no-code платформ стал Power Apps. Все из-за дружелюбного API-интерфейса, который позволял обмениваться и хранить информацию. Например, записи клиентов можно легко выгрузить в Эксель-таблицу.
Суть проблемы
Тревожные сигналы начались, когда исследователи компании UpGuard нашли практически в свободном доступе персональные данные 38 миллионов человек. Все они работали с компаниями, которые использовали Power Apps.
К счастью, обошлось без слитых паролей и банковских карт. Настораживало другое — не былы признаков взлома, данные будто просто вытащили всем на обозрение. В чем же дело?
Где крылась опасность
Главная уязвимостью Power Apps оказался API. Встроенные инструменты для быстрого сбора данных по умолчанию оставляли информацию общедоступной. Если точнее, информация утекала через API OData.
Для защиты данных от пользователя требовалось задать конкретные Table Permissions и активировать Enable Table Permissions. Естественно, рядовой пользователь no-code платформы о таких нюансах не догадывался.
Вы все правильно поняли: любой мог получить анонимный доступ, если имел общие представления о работе Power Apps.
Разработчики закрыли ошибку в следующем обновлении. Однако ситуация еще раз напомнила о важности безопасности, особенно в настройках по умолчанию.
#истории
1 минута
21 мая 2024