Penyebab 38 Juta Data Pengguna Microsoft Power App Terungkap Secara Publik

JAKARTA - Microsoft lagi-lagi mendapatkan masalah soal keamanan layanannya. Kali ini sekitar 38 juta data dari platform Power App milik Microsoft dibiarkan terbuka ke publik selama berbulan-bulan. Ini didasari karena Power App memiliki pengaturan keamanan default yang lemah.

Sebuah penelitian dari perusahaan keamanan siber UpGuard menunjukkan, sejumlah pengguna Power App tidak mengamankan database mereka, seperti dikutip dari Windows Central, Selasa, 24 Agustus.

Penyelidikan lebih lanjut mengungkapkan, kebocoran data datang akibat sebuah organisasi yang menggunakan Power Apps Microsoft. Platform dapat digunakan untuk membuat situs web dan mengelola data, tetapi jika salah dikonfigurasi dapat mengakibatkan risiko keamanan.

Power Apps dapat digunakan untuk mengelola data yang ingin dipublikasikan oleh organisasi, seperti lokasi pusat vaksinasi, serta data yang harus tetap pribadi, seperti nomor jaminan sosial. Pengaturan default untuk Power Apps membuat data dapat diakses publik hingga perubahan terbaru dari Microsoft

Data yang dibiarkan terbuka itu berasal dari sumber-sumber seperti American Airlines, Ford, sekolah umum New York, dan database pelacak kontak COVID-19 beberapa negara bagian.

"Kami menemukan salah satu dari ini yang salah dikonfigurasi untuk mengekspos data dan kami pikir, kami belum pernah mendengar tentang ini, apakah ini masalah sekali atau ini masalah sistemik? Karena cara kerja produk portal Power Apps, sangat mudah untuk melakukan survei dengan cepat. Kami menemukan ada banyak sekali yang terpapar. Itu liar," kata VP Peneliti Siber UpGuard Greg Pollock.

UpGuard mulai menyelidiki sejumlah besar portal Power App yang seharusnya bersifat pribadi pada Mei 2021, bahkan aplikasi yang dibuat oleh Microsoft salah dikonfigurasi. Namun, meskipun terbuka untuk umum, tidak ada data yang diketahui telah dicuri.

Inti masalahnya terletak pada pengaturan keamanan default. Misalnya, saat menyiapkan Power App dan menghubungkan API, platform secara default membuat data terkait dapat diakses secara publik. Berkat pembaruan pada bulan Agustus, Power Apps akan menggunakan pengaturan default untuk mengamankan agar data tetap aman.

Data yang terpapar termasuk beberapa platform pelacakan kontak COVID-19, pendaftaran vaksinasi, portal lamaran kerja, database karyawan, dan lainnya.

 

"Meskipun kami memahami (dan setuju dengan) posisi Microsoft bahwa masalah di sini tidak sepenuhnya merupakan kerentanan perangkat lunak, ini adalah masalah platform yang memerlukan perubahan kode pada produk, dan dengan demikian harus berada dalam alur kerja yang sama dengan kerentanan," ujar perwakilan UpGuard.

"Ini adalah resolusi yang lebih baik untuk mengubah produk sebagai respons terhadap perilaku pengguna yang diamati daripada memberi label hilangnya kerahasiaan data secara sistemik sebagai kesalahan konfigurasi pengguna akhir, yang memungkinkan masalah tetap ada dan memaparkan pengguna akhir pada risiko keamanan siber dari pelanggaran data," imbuhnya.