Microsoft Power Apps Salah Dikonfigurasi, 38 Juta Data Sensitif Bocor

Internet Sehat : Sebanyak empat puluh tujuh entitas pemerintah dan perusahaan privasi, termasuk Microsoft, mengekspos 38 juta catatan data sensitif secara online karena salah mengonfigurasi Power Apps Windows, layanan dengan kode rendah yang menjanjikan cara mudah untuk membangun aplikasi profesional.

Perusahaan keamanan UpGuard mengatakan bahwa pada bulan Mei salah satu analisnya menemukan bahwa API OData untuk portal Power Apps menawarkan catatan database yang dapat diakses secara anonim yang menyertakan detail pribadi. Hal tersebut membuat UpGuard melihat portal Power Apps lainnya dan penelitinya menemukan lebih dari seribu aplikasi yang dikonfigurasi untuk membuat data tersedia bagi siapa saja yang bertanya.

Di antara entitas yang diidentifikasi oleh UpGuard adalah badan pemerintah negara bagian dan kota di Indiana, Maryland, dan New York City, dan perusahaan swasta seperti American Airlines, Ford, JB Hunt, dan Microsoft. Sejauh ini tidak ada indikasi bahwa informasi telah disalahgunakan. Informasi tersebut hanya dapat diakses publik sampai pengungkapan UpGuard mendorong mereka yang terkena dampak untuk merespons.

Power Apps menyediakan cara bagi mereka yang bukan pembuat kode profesional untuk membangun aplikasi bisnis kustom yang berinteraksi dengan data dari Microsoft Dataverse atau sumber data lokal dan online lainnya seperti SharePoint, Microsoft 365, Dynamics 365, SQL Server, dan sejenisnya. Dan melalui portal Power Apps, pelanggan Microsoft dapat membuat situs web publik untuk menyediakan data aplikasi mereka.

Situs web portal ini mengambil data dari Power Apps melalui Open Data Protocol (OData) API. API menggunakan daftar Power Apps, cara untuk merender daftar rekaman database. Daftar pada dasarnya adalah kueri yang dibuat ke tabel database tertentu, dikombinasikan dengan parameter dan atribut tambahan.

Seperti yang dijelaskan Microsoft dalam dokumentasinya untuk mengamankan daftar, pengguna harus mengonfigurasi Table Permissions untuk tabel yang rekamannya ditampilkan dan juga mengatur nilai Enable Table Permissions Boolean pada rekaman daftar ke true.

Tetapi seperti yang ditemukan oleh peneliti UpGuard, banyak organisasi tidak melakukannya dan itu membuat daftar portal Power Apps mereka dapat diakses oleh siapa saja. Pada 24 Juni, UpGuard melaporkan temuannya ke Microsoft.

Di antara contoh data sensitif yang diekspos melalui API OData adalah tiga portal Power Apps yang digunakan oleh entitas pemerintah Amerika untuk melacak tracing atau vaksinasi COVID-19 dan portal dengan data pelamar pekerjaan termasuk Nomor Jaminan Sosial.

Microsoft melihat laporan tersebut dan menyimpulkan bahwa kecenderungan perangkat lunaknya untuk menerbitkan data tanpa perlindungan bukanlah kelemahan keamanan. Pada hari Selasa 29 Juni, kasus itu ditutup, dan analis Microsoft memberi tahu UpGuard bahwa mereka telah menetapkan bahwa perilaku ini dianggap sebagai desain.

Juru bicara Microsoft mengtakan bahwa produk mereka memberikan fleksibilitas dan fitur privasi kepada pelanggan untuk merancang solusi terukur yang memenuhi berbagai kebutuhan. Microsoft tetap telah mengambil langkah-langkah untuk menurunkan bilah keamanan ke tingkat yang lebih cocok untuk aplikasi kode rendah dengan mengubah portal Power Apps untuk mengaktifkan izin tabel secara default daripada mengasumsikan pengguna akan ikut serta dalam keamanan.

Sumber : The Register

Share Artikel