Microsoft’un Power Apps platformunda tespit edilen bir güvenlik açığı, aralarında COVID-19 verilerinin de bulunduğu toplam 38 milyon özel verinin tehlikeye girmesine sebebiyet verdi. Paylaşılan bilgilere göre, sorun American Airlines, Ford, Indiana Eyaleti Sağlık Bakanlığı ve New York City devlet okulları dahil olmak onlarca büyük şirket ve kurumu etkiledi.
Power Apps; müşterilerin iş gereksinimlerine yönelik özel uygulamalar üretmeleri için hızlı bir geliştirme ortamı sağlayan uygulama, hizmet, bağlayıcı ve veri platformu paketi olarak tanımlanabilir. Bünyesinde uygulama programlama arayüzleri (API) barındıran bu hizmet, geliştiricilerin iş yükünü hafifletmeyi amaçlıyor.
Power Apps altyapısını kullanan onlarca şirket hatadan etkilendi
Güvenlik şirketi Upguard’da görev alan uzmanlar, tespit ettikleri problemin Mayıs ayından bu yana izini sürüyorlardı. Ekip yaptığı araştırma sonucunda, bu işlerden anlayan herkesin rahatlıkla erişebileceği özel verilerin tehlikede olduğunu ortaya çıkardı. Sorun derinlemesine araştırılırken, Power Apps API’lerindeki bir hata nedeniyle tüm verilerin varsayılan olarak herkese açık hale geldiği keşfedildi. Gizli hale getirmek için ise manuel müdahele gerektiği aktarıldı.
Upguard, yaptığı açıklamada 24 Haziran’da Microsoft’un güvenlik merkezine kapsamlı bir rapor gönderdiğini söyledi. Özel verilerin açığa çıkarılmasına sebebiyet veren Power Apps hesaplarıyla ilgili detayların yanı sıra, sorunlu API’ler konusunda şirketi bilgilendirdiğini aktardı. Bunun yanı sıra Upguard, güvenlik açığından etkilenen bazı şirket ve kurumları da bilgilendirdi.
Güvenlik açığından etkilenen şirketlere ait verilerin internet ortamına sızdırılıp sızdırılmadığına dair araştırmalar yapılsa da, bu konuda net bir bilgi maalesef bulunmuyor. Öte yandan Microsoft hatayı büyük ölçüde ortadan kaldırdı. Artık Power Apps API’lerini kullanan geliştiricilerin verileri varsayılan olarak gizli hale gelecek. Ayrıca hizmete eklenen yeni bir araç sayesinde, şirketler güvende olup olmadıklarına dair kontrol yapabilecekler.