Come fanno le informazioni raccolte dalle aziende a finire nelle mani sbagliate? A volte vengono vendute da insider, altre volte un hackeraggio mirato porta alla fuga di informazioni; tuttavia, spesso le informazioni di identificazione personale trapelano da servizi o programmi mal configurati. Come ulteriore riprova, i ricercatori di UpGuard hanno scoperto la fuga di informazioni di identificazione personale appartenenti a 38 milioni di persone. La fonte di questa fuga va ricercata in applicazioni web mal configurate create con la piattaforma Microsoft Power Apps. Fortunatamente, i cybercriminali non sembrano aver avuto accesso a queste informazioni.
Errata configurazione di Power Apps
In quanto strumento che aiuta le aziende a costruire applicazioni e portali web senza la necessità di ingenti investimenti in sviluppo, Power Apps di Microsoft utilizza il principio del low-code (cioè, non richiede la scrittura di codice in quanto tale). Le recensioni degli utenti hanno fatto notare la capacità di trasformare qualsiasi idea in realtà senza avere esperienza in informatica e programmazione.
Questa semplicità è alla radice del problema. Usando Power Apps, persone che non solo non avevano esperienza IT, ma che ignoravano anche le basi della sicurezza delle informazioni, hanno creato strumenti che (sorpresa!) non erano affatto sicuri. I ricercatori hanno trovato 47 aziende e agenzie governative che hanno usato Power Apps per creare tool che hanno raccolto dati personali, ma non li hanno protetti adeguatamente.
Per riassumere una spiegazione lunga e piuttosto tecnica, Power Apps permette agli utenti di creare dei tool, sia per condividere dati, che per raccoglierli. In entrambi i casi, i dati sono memorizzati in tabelle, e il creatore dell’app può abilitare le autorizzazioni di accesso ad esse. Per impostazione predefinita, i permessi sono stati disabilitati. Da un lato, questo permetteva ai creatori di abilitare facilmente la condivisione. D’altra parte, ha essenzialmente reso le tabelle pubbliche. Ecco perché le informazioni raccolte rimanevano disponibili all’esterno delle aziende.
Come proteggere i dati della vostra azienda e dei vostri clienti dalle fughe di informazioni
Dopo la segnalazione della fuga di dati da parte dei ricercatori, Microsoft ha modificato le impostazioni predefinite della piattaforma. Ora, quando qualcuno crea un nuovo progetto che raccoglie dati personali, memorizzerà tutte le informazioni raccolte in modo che dall’esterno non siano in grado di accedervi. Tuttavia, le app e i servizi web creati prima dell’aggiornamento di Microsoft potrebbero essere ancora vulnerabili. Se la vostra azienda utilizza Microsoft Power Apps, dovreste controllare accuratamente tutte le opzioni di configurazione per evitare questo tipo di situazioni, soprattutto se le vostre applicazioni raccolgono e memorizzano informazioni personali.
Tuttavia, il problema è in realtà molto più ampio. Power Apps non è l’unica piattaforma low-code che persone prive di esperienza IT usano per creare servizi, applicazioni e siti web. Questi strumenti, che in molti casi le aziende usano solo per compiti interni, possono passare del tutto inosservati ai dipartimenti di sicurezza. Nel frattempo, possono contenere vulnerabilità del codice sorgente, errori che si verificano durante l’integrazione con altri processi aziendali o, come in questo caso, configurazioni errate.
Pertanto, consigliamo alle aziende che utilizzano piattaforme low-code di fare quanto segue:
- Controllate attentamente le impostazioni di sicurezza e privacy delle app pubblicate e anche di quelle non ancora pubblicate;
- Istruite i dipartimenti di sicurezza delle informazioni sull’uso di tali piattaforme nei processi aziendali;
- Avvaletevi di esperti esterni (se non disponibili internamente) per la valutazione della sicurezza informatica generale in azienda.