{"id":25417,"date":"2021-09-08T09:07:57","date_gmt":"2021-09-08T07:07:57","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=25417"},"modified":"2021-09-08T10:32:37","modified_gmt":"2021-09-08T08:32:37","slug":"power-apps-exposure","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/power-apps-exposure\/25417\/","title":{"rendered":"Le app costruite con Microsoft Power Apps possono far trapelare i dati personali degli utenti"},"content":{"rendered":"

Come fanno le informazioni raccolte dalle aziende a finire nelle mani sbagliate? A volte vengono vendute da insider, altre volte un hackeraggio mirato porta alla fuga di informazioni; tuttavia, spesso le informazioni di identificazione personale trapelano da servizi o programmi mal configurati. Come ulteriore riprova, i ricercatori di UpGuard hanno scoperto la fuga di informazioni<\/a> di identificazione personale appartenenti a 38 milioni di persone. La fonte di questa fuga va ricercata in applicazioni web mal configurate create con la piattaforma Microsoft Power Apps. Fortunatamente, i cybercriminali non sembrano aver avuto accesso a queste informazioni.<\/p>\n

Errata configurazione di Power Apps<\/h2>\n

In quanto strumento che aiuta le aziende a costruire applicazioni e portali web senza la necessit\u00e0 di ingenti investimenti in sviluppo, Power Apps di Microsoft utilizza il principio del low-code (cio\u00e8, non richiede la scrittura di codice in quanto tale). Le recensioni degli utenti hanno fatto notare<\/a> la capacit\u00e0 di trasformare qualsiasi idea in realt\u00e0 senza avere esperienza in informatica e programmazione.<\/p>\n

Questa semplicit\u00e0 \u00e8 alla radice del problema. Usando Power Apps, persone che non solo non avevano esperienza IT, ma che ignoravano anche le basi della sicurezza delle informazioni, hanno creato strumenti che (sorpresa!) non erano affatto sicuri. I ricercatori hanno trovato 47 aziende e agenzie governative che hanno usato Power Apps per creare tool che hanno raccolto dati personali, ma non li hanno protetti adeguatamente.<\/p>\n

Per riassumere una spiegazione lunga e piuttosto tecnica, Power Apps permette agli utenti di creare dei tool, sia per condividere dati, che per raccoglierli. In entrambi i casi, i dati sono memorizzati in tabelle, e il creatore dell\u2019app pu\u00f2 abilitare le autorizzazioni di accesso ad esse. Per impostazione predefinita, i permessi sono stati disabilitati. Da un lato, questo permetteva ai creatori di abilitare facilmente la condivisione. D\u2019altra parte, ha essenzialmente reso le tabelle pubbliche. Ecco perch\u00e9 le informazioni raccolte rimanevano disponibili all\u2019esterno delle aziende.<\/p>\n

Come proteggere i dati della vostra azienda e dei vostri clienti dalle fughe di informazioni<\/h2>\n

Dopo la segnalazione della fuga di dati da parte dei ricercatori, Microsoft ha modificato le impostazioni predefinite della piattaforma. Ora, quando qualcuno crea un nuovo progetto che raccoglie dati personali, memorizzer\u00e0 tutte le informazioni raccolte in modo che dall\u2019esterno non siano in grado di accedervi. Tuttavia, le app e i servizi web creati prima dell\u2019aggiornamento di Microsoft potrebbero essere ancora vulnerabili. Se la vostra azienda utilizza Microsoft Power Apps, dovreste controllare accuratamente tutte le opzioni di configurazione per evitare questo tipo di situazioni, soprattutto se le vostre applicazioni raccolgono e memorizzano informazioni personali.<\/p>\n

Tuttavia, il problema \u00e8 in realt\u00e0 molto pi\u00f9 ampio. Power Apps non \u00e8 l\u2019unica piattaforma low-code che persone prive di esperienza IT usano per creare servizi, applicazioni e siti web. Questi strumenti, che in molti casi le aziende usano solo per compiti interni, possono passare del tutto inosservati ai dipartimenti di sicurezza. Nel frattempo, possono contenere vulnerabilit\u00e0 del codice sorgente, errori che si verificano durante l\u2019integrazione con altri processi aziendali o, come in questo caso, configurazioni errate.<\/p>\n

Pertanto, consigliamo alle aziende che utilizzano piattaforme low-code di fare quanto segue:<\/p>\n