Power Apps Platformunda Büyük Hata, Milyonlarca COVID-19 Verisi İfşa Edildi!

Power Apps platformunda bulunan bir güvenlik açığı, içerisinde COVID-19 verilerinin de bulunduğu toplam 38 milyon özel verinin tehlikeye girmesine neden oldu. Aktarılan bilgilere göre, sorun American Airlines, Ford, Indiana Eyaleti Sağlık Bakanlığı ve New York City devlet okulları dahil olmak üzere yüzlerce büyük şirket ve kurumu etkiledi. Microsoft‘un bir platformu olan Power Apps; müşterilerin iş gereksinimlerine yönelik özel uygulamalar üretmeleri için hızlı bir geliştirme ortamı sağlayan uygulama, hizmet, bağlayıcı ve veri platformu paketi olarak tanımlayabiliriz. İçerisinde uygulama programlama arayüzleri (API) barındıran bu hizmet, geliştiricilerin iş yükünü hafifletmeyi amaçlıyor. Güvenlik şirketi Upguard’da görev alan uzmanlar, tespit ettikleri problemin Mayıs ayından bu yana takip ediyorlardı. Ekip yaptığı araştırma sonucunda, bu işlerden anlayan herkesin rahatlıkla erişebileceği özel verilerin tehlikede olduğunu ortaya çıkardı.

Sorun araştırılırken, Power Apps API’lerindeki bir hata nedeniyle verilerin varsayılan olarak herkese açık hale geldiği ortaya çıktı.
Upguard,  24 Haziran’da Microsoft’un güvenlik merkezine bir rapor gönderdiğini ekledi. Özel verilerin açığa çıkarılmasına neden olan Power Apps hesaplarıyla ilgili detayların yanı sıra, sorunlu API’ler konusunda şirketi bilgilendirdiğini iletti. Bunun yanı sıra Upguard, güvenlik açığından etkilenen bazı şirket ve kurumları da bilgilendirdi.
Güvenlik açığından etkilenen şirketlere ait verilerin internet ortamına sızdırılıp sızdırılmadığına dair araştırmalar devam ediyor, bu konuda net bir bilgi bulunmuyor. Microsoft hatayı büyük ölçüde ortadan kaldırdı. Power Apps API’lerini kullanan geliştiricilerin verileri varsayılan olarak gizli hale gelecek. Ayrıca hizmete eklenen yeni bir araç sayesinde, şirketler güvende olup olmadıklarına dair kontrol yapabilecekler.