Microsoft Power Apps ile oluşturulan uygulamalar, kullanıcılara ait kişisel bilgileri sızdırıyor olabilir

Microsoft Power Apps ile oluşturulan yanlış yapılandırılmış uygulamalar, milyonlarca kişileri tanımlayıcı bilgi kaydını korunmasız hale getiriyor.

Şirketlerin topladığı bilgiler nasıl yanlış ellere geçer? Bu bilgiler bazen şirket içinden birileri tarafından satılır, bazen hedefli bir hackleme sızıntının yayılmasını sağlar, ancak çoğu zaman kişileri tanımlayıcı bilgiler yanlış yapılandırılmış hizmetler veya programlar aracılığıyla açığa çıkar. Buna örnek bir çok kanıta ek olarak UpGuard’dan araştırmacılar, 38 milyon kişiye ait kişileri tanımlayıcı bilginin ifşa olduğunu keşfetti. Sızıntının kaynağı ise Microsoft Power Apps platformuyla oluşturulan, kötü yapılandırılmış bazı Web uygulamaları. Neyse ki, kötü niyetli kişiler bilgiye erişim sağlayamamış gibi görünüyor.

Power Apps’in yanlış yapılandırması

Şirketlerin büyük yazılım geliştirme yatırımlarına ihtiyaç duymadan uygulamalar ve Web portalları oluşturmasına yardımcı olan bir araç olan Microsoft’un Power Apps, az kod (low-code) ilkesinden yararlanıyor (yani, çok fazla kod yazmayı gerektirmiyor). Uygulama hakkındaki kullanıcı incelemeleri, BT ve programlama konusunda deneyim sahibi olmadan herhangi bir fikri gerçeğe dönüştürme becerisini abartıyor.

Sorunun altında yatan neden ise bu basitlik. Yalnızca BT deneyiminden yoksun olmakla kalmayıp aynı zamanda bilgi güvenliğini de göz ardı eden kişiler, Power Apps’i kullanarak hiç de sürpriz olmayan bir şekilde, güvenli olmayan araçlar yarattılar. Araştırmacılar, kişisel verileri toplayan ancak bu verilerin güvenliğini sağlamayan araçlar oluşturmak için Power Apps kullanan 47 şirket ve devlet kurumu keşfetti.

Uzun ve oldukça teknik bir açıklamayı özetlemek gerekirse, Power Apps, kullanıcıların hem veri paylaşmak hem de veri toplamak için araçlar oluşturmasına olanak tanır. Her iki durumda da veriler tablolarda tutulur ve uygulamanın yaratıcısı bunlara erişim izinleri verebilir. Varsayılan olarak, bu izinler devre dışı bırakılmıştı. Bir taraftan, içerik oluşturucuların paylaşımı kolayca etkinleştirmesi olanak tanınırken diğer taraftan bunu yapmak aslında tabloları herkesin erişimine açık hale getiriyordu. Bu nedenle toplanan veriler şirket dışından erişime açık hale geldi.

Şirketinizin ve müşterilerinizin verilerini sızıntılardan nasıl korursunuz?

Araştırmacılar sızıntıyı bildirdikten sonra Microsoft, platformun varsayılan ayarlarında değişikliğe gitti. Artık birisi kişisel verileri toplayan yeni bir proje oluşturduğunda, topladığı tüm bilgiler, dışarıdan erişilemeyecek şekilde tutuluyor. Ancak, Microsoft’un güncellemesinden önce oluşturulan uygulamalar ve Web hizmetleri hala savunmasız olabilir. Şirketiniz Microsoft Power Apps kullanıyorsa, özellikle de uygulamalarınız kişileri tanımlayıcı bilgiler toplayıp saklıyorsa, bu tür sızıntıları önlemek için tüm yapılandırma seçeneklerini baştan sona kontrol etmelisiniz.

Ancak, aslında sorun çok daha geniş kapsamlı. BT uzmanlığına sahip olmayan kişilerin hizmetler, uygulamalar ve internet siteleri oluşturmak için kullandığı tek az kod (low-code) ilkesine sahip platform Power Apps değil. Şirketlerin daha çok yalnızca şirket içi görevler için kullandığı bu araçlardan, güvenlik departmanlarının hiç haberi olmayabilir. Aynı zamanda kaynak kodunda güvenlik açıkları, diğer iş süreçleriyle entegrasyon sırasında oluşan hatalar veya yaşanan bu örnekte olduğu gibi yanlış yapılandırmalar söz konusu olabilir.

Bu nedenle, az kod ilkesi ile çalışan platformları kullanan şirketlerin aşağıdakileri yapmasını öneriyoruz:

  • Hem yayınlanan hem de henüz yayınlanmayan uygulamaların güvenlik ve gizlilik ayarlarını dikkatlice kontrol edin,
  • Bilgi güvenliği departmanlarına, bu tür platformların iş süreçlerinde kullanımı konusunda eğitim vermek;
  • Güvenlik değerlendirmesi için (şirket içi uzman bulunmuyorsa) şirket dışından uzmanlar istihdam etmek.
İpuçları