{"id":9991,"date":"2021-09-07T11:48:53","date_gmt":"2021-09-07T08:48:53","guid":{"rendered":"https:\/\/www.kaspersky.com.tr\/blog\/?p=9991"},"modified":"2021-09-08T12:23:56","modified_gmt":"2021-09-08T09:23:56","slug":"power-apps-exposure","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.tr\/blog\/power-apps-exposure\/9991\/","title":{"rendered":"Microsoft Power Apps ile olu\u015fturulan uygulamalar, kullan\u0131c\u0131lara ait ki\u015fisel bilgileri s\u0131zd\u0131r\u0131yor olabilir"},"content":{"rendered":"

\u015eirketlerin toplad\u0131\u011f\u0131 bilgiler nas\u0131l yanl\u0131\u015f ellere ge\u00e7er? Bu bilgiler bazen \u015firket i\u00e7inden birileri taraf\u0131ndan sat\u0131l\u0131r, bazen hedefli bir hackleme s\u0131z\u0131nt\u0131n\u0131n yay\u0131lmas\u0131n\u0131 sa\u011flar, ancak \u00e7o\u011fu zaman ki\u015fileri tan\u0131mlay\u0131c\u0131 bilgiler yanl\u0131\u015f yap\u0131land\u0131r\u0131lm\u0131\u015f hizmetler veya programlar arac\u0131l\u0131\u011f\u0131yla a\u00e7\u0131\u011fa \u00e7\u0131kar. Buna \u00f6rnek bir \u00e7ok kan\u0131ta ek olarak UpGuard\u2019dan ara\u015ft\u0131rmac\u0131lar, 38 milyon ki\u015fiye ait ki\u015fileri tan\u0131mlay\u0131c\u0131 bilginin if\u015fa oldu\u011funu<\/a> ke\u015ffetti. S\u0131z\u0131nt\u0131n\u0131n kayna\u011f\u0131 ise Microsoft Power Apps platformuyla olu\u015fturulan, k\u00f6t\u00fc yap\u0131land\u0131r\u0131lm\u0131\u015f baz\u0131 Web uygulamalar\u0131. Neyse ki, k\u00f6t\u00fc niyetli ki\u015filer bilgiye eri\u015fim sa\u011flayamam\u0131\u015f gibi g\u00f6r\u00fcn\u00fcyor.<\/p>\n

Power Apps\u2019in yanl\u0131\u015f yap\u0131land\u0131rmas\u0131<\/h2>\n

\u015eirketlerin b\u00fcy\u00fck yaz\u0131l\u0131m geli\u015ftirme yat\u0131r\u0131mlar\u0131na ihtiya\u00e7 duymadan uygulamalar ve Web portallar\u0131 olu\u015fturmas\u0131na yard\u0131mc\u0131 olan bir ara\u00e7 olan Microsoft\u2019un Power Apps, az kod (low-code) ilkesinden yararlan\u0131yor (yani, \u00e7ok fazla kod yazmay\u0131 gerektirmiyor). Uygulama hakk\u0131ndaki kullan\u0131c\u0131 incelemeleri<\/a>, BT ve programlama konusunda deneyim sahibi olmadan herhangi bir fikri ger\u00e7e\u011fe d\u00f6n\u00fc\u015ft\u00fcrme becerisini abart\u0131yor.<\/p>\n

Sorunun alt\u0131nda yatan neden ise bu basitlik. Yaln\u0131zca BT deneyiminden yoksun olmakla kalmay\u0131p ayn\u0131 zamanda bilgi g\u00fcvenli\u011fini de g\u00f6z ard\u0131 eden ki\u015filer, Power Apps\u2019i kullanarak hi\u00e7 de s\u00fcrpriz olmayan bir \u015fekilde, g\u00fcvenli olmayan ara\u00e7lar yaratt\u0131lar. Ara\u015ft\u0131rmac\u0131lar, ki\u015fisel verileri toplayan ancak bu verilerin g\u00fcvenli\u011fini sa\u011flamayan ara\u00e7lar olu\u015fturmak i\u00e7in Power Apps kullanan 47 \u015firket ve devlet kurumu ke\u015ffetti.<\/p>\n

Uzun ve olduk\u00e7a teknik bir a\u00e7\u0131klamay\u0131 \u00f6zetlemek gerekirse, Power Apps, kullan\u0131c\u0131lar\u0131n hem veri payla\u015fmak hem de veri toplamak i\u00e7in ara\u00e7lar olu\u015fturmas\u0131na olanak tan\u0131r. Her iki durumda da veriler tablolarda tutulur ve uygulaman\u0131n yarat\u0131c\u0131s\u0131 bunlara eri\u015fim izinleri verebilir. Varsay\u0131lan olarak, bu izinler devre d\u0131\u015f\u0131 b\u0131rak\u0131lm\u0131\u015ft\u0131. Bir taraftan, i\u00e7erik olu\u015fturucular\u0131n payla\u015f\u0131m\u0131 kolayca etkinle\u015ftirmesi olanak tan\u0131n\u0131rken di\u011fer taraftan bunu yapmak asl\u0131nda tablolar\u0131 herkesin eri\u015fimine a\u00e7\u0131k hale getiriyordu. Bu nedenle toplanan veriler \u015firket d\u0131\u015f\u0131ndan eri\u015fime a\u00e7\u0131k hale geldi.<\/p>\n

\u015eirketinizin ve m\u00fc\u015fterilerinizin verilerini s\u0131z\u0131nt\u0131lardan nas\u0131l korursunuz?<\/h2>\n

Ara\u015ft\u0131rmac\u0131lar s\u0131z\u0131nt\u0131y\u0131 bildirdikten sonra Microsoft, platformun varsay\u0131lan ayarlar\u0131nda de\u011fi\u015fikli\u011fe gitti. Art\u0131k birisi ki\u015fisel verileri toplayan yeni bir proje olu\u015fturdu\u011funda, toplad\u0131\u011f\u0131 t\u00fcm bilgiler, d\u0131\u015far\u0131dan eri\u015filemeyecek \u015fekilde tutuluyor. Ancak, Microsoft\u2019un g\u00fcncellemesinden \u00f6nce olu\u015fturulan uygulamalar ve Web hizmetleri hala savunmas\u0131z olabilir. \u015eirketiniz Microsoft Power Apps kullan\u0131yorsa, \u00f6zellikle de uygulamalar\u0131n\u0131z ki\u015fileri tan\u0131mlay\u0131c\u0131 bilgiler toplay\u0131p sakl\u0131yorsa, bu t\u00fcr s\u0131z\u0131nt\u0131lar\u0131 \u00f6nlemek i\u00e7in t\u00fcm yap\u0131land\u0131rma se\u00e7eneklerini ba\u015ftan sona kontrol etmelisiniz.<\/p>\n

Ancak, asl\u0131nda sorun \u00e7ok daha geni\u015f kapsaml\u0131. BT uzmanl\u0131\u011f\u0131na sahip olmayan ki\u015filerin hizmetler, uygulamalar ve internet siteleri olu\u015fturmak i\u00e7in kulland\u0131\u011f\u0131 tek az kod (low-code) ilkesine sahip platform Power Apps de\u011fil. \u015eirketlerin daha \u00e7ok yaln\u0131zca \u015firket i\u00e7i g\u00f6revler i\u00e7in kulland\u0131\u011f\u0131 bu ara\u00e7lardan, g\u00fcvenlik departmanlar\u0131n\u0131n hi\u00e7 haberi olmayabilir. Ayn\u0131 zamanda kaynak kodunda g\u00fcvenlik a\u00e7\u0131klar\u0131, di\u011fer i\u015f s\u00fcre\u00e7leriyle entegrasyon s\u0131ras\u0131nda olu\u015fan hatalar veya ya\u015fanan bu \u00f6rnekte oldu\u011fu gibi yanl\u0131\u015f yap\u0131land\u0131rmalar s\u00f6z konusu olabilir.<\/p>\n

Bu nedenle, az kod ilkesi ile \u00e7al\u0131\u015fan platformlar\u0131 kullanan \u015firketlerin a\u015fa\u011f\u0131dakileri yapmas\u0131n\u0131 \u00f6neriyoruz:<\/p>\n