تعرضت سجلاتها للشركات التي تستخدم بوابات Microsoft Power Apps

كما تعلم ، يعد Power Apps نظامًا أساسيًا منخفض الشفرة من Microsoft للمؤسسات لتطوير تطبيقات كاملة بسرعة ، معظمها للاستخدام الداخلي ، مع واجهة أمامية وخلفية.

إنها حقًا أداة قوية تتيح لك إنشاء تطبيقات ، حتى لو لم تكن ماهرًا في البرمجة.

على الرغم من أن Microsoft تقوم بانتظام بتحديث Power Apps بميزات وإمكانيات جديدة ، فقد يكون تقرير جديد مصدر قلق للمؤسسات.

يبدو أنه تم تسريب أكثر من 38 مليون سجل عبر الإنترنت بسبب استخدام الأشخاص للتكوينات الافتراضية في بوابات Microsoft Power Apps.

أثر الحادث على شركات كبرى مثل American Airlines و Ford وشركة النقل والخدمات اللوجستية J.B. هانت ، ووزارة الصحة بولاية ماريلاند ، وهيئة النقل البلدية لمدينة نيويورك ، ومدينة نيويورك العامة المدارس.

وبينما تمت معالجة حالات التعرض للبيانات ، فإنها تُظهر كيف يمكن أن يكون لإعداد تهيئة سيئة في نظام أساسي شائع عواقب بعيدة المدى.

تم الكشف عن معلومات تتبع جهات الاتصال عبر الإنترنت

تم تخزين جميع البيانات التي تم الكشف عنها في خدمة بوابة Power Apps من Microsoft ، وهي عبارة عن نظام أساسي للتطوير يجعل من السهل إنشاء تطبيقات الويب أو الأجهزة المحمولة للاستخدام الخارجي.

إذا كنت بحاجة إلى إنشاء موقع تسجيل موعد لقاح بسرعة أثناء حدوث جائحة ، على سبيل المثال ، يمكن لبوابات Power Apps إنشاء كل من الموقع المواجه للجمهور وخلفية إدارة البيانات.

مرة أخرى في مايو ، باحثون من شركة الأمن Upguard بدأ التحقيق عدد كبير من بوابات Power Apps التي كشفت علنًا عن البيانات التي كان من المفترض أن تكون خاصة.

ومن بين هذه التطبيقات بعض Power Apps التي صنعتها Microsoft لأغراضها الخاصة.

ومع ذلك ، لا يُعرف أنه تم اختراق أي من البيانات ، ولكن النتيجة لا تزال مهمة ، لأنها تكشف عن وجود إشراف في تصميم بوابات Power Apps التي تم إصلاحها منذ ذلك الحين.

إلى جانب إدارة قواعد البيانات الداخلية وتقديم أساس لتطوير التطبيقات ، يوفر نظام Power Apps أيضًا واجهات برمجة تطبيقات جاهزة للتفاعل مع تلك البيانات.

يؤدي التهيئة الخاطئة إلى الضعف

أدرك الباحثون من Upguard أنه عند تمكين واجهات برمجة التطبيقات هذه ، تخلف النظام الأساسي عن إتاحة البيانات المقابلة للجمهور.

كان تمكين إعدادات الخصوصية عملية يدوية ، ونتيجة لذلك ، أخطأ العديد من العملاء في تكوين تطبيقاتهم من خلال ترك الإعداد الافتراضي غير الآمن.

وجدنا واحدة من هذه التي تم تكوينها بشكل خاطئ لكشف البيانات واعتقدنا ، أننا لم نسمع بذلك من قبل ، هل هذا شيء لمرة واحدة أم أن هذه مشكلة منهجية؟ نظرًا للطريقة التي يعمل بها منتج بوابات Power Apps ، فمن السهل جدًا إجراء استطلاع سريع. واكتشفنا أن هناك أطنانًا من هؤلاء المكشوفين. كانت برية.

كشفت Microsoft نفسها عن عدد من قواعد البيانات في بوابات Power Apps الخاصة بها ، بما في ذلك القديمة منصة تسمى Global Payroll Services ، وبوابتان لدعم أدوات الأعمال ، و Customer Insights منفذ.

كان التهيئة الخاطئة لقواعد البيانات المستندة إلى السحابة مشكلة خطيرة على مر السنين ، مما أدى إلى تعريض كميات هائلة من البيانات للوصول غير المناسب أو السرقة.

اتخذت شركات السحابة الكبيرة مثل Amazon Web Services و Google Cloud Platform و Microsoft Azure خطوات لتخزين بيانات العملاء بشكل خاص بشكل افتراضي من البداية والإبلاغ عن التكوينات الخاطئة المحتملة ، ولكن الصناعة لم تعطي الأولوية للمشكلة حتى حديثا.

لم يتمكن باحثو Upguard من الوصول إلى كل كيان ، نظرًا لوجود عدد كبير جدًا ، لذا فقد كشفوا أيضًا عن النتائج لـ Microsoft.

يمكن للمستخدمين التحقق من إعدادات البوابة الخاصة بهم باستخدام أداة Microsoft

في بداية شهر أغسطس ، أعلنت مايكروسوفت أن بوابات Power Apps ستصبح الآن افتراضيًا لتخزين بيانات API والمعلومات الأخرى بشكل خاص.

شركة ريدموند أيضا أصدرت أداة يمكن للعملاء استخدامها للتحقق من إعدادات البوابة الخاصة بهم.

ولكن بين إصلاحات Microsoft وإشعارات UpGuard الخاصة ، يقول الخبراء الآن أن الغالبية العظمى من البوابات المكشوفة ، وجميع البوابات الأكثر حساسية ، أصبحت الآن خاصة.

مع الأشياء الأخرى التي عملنا عليها ، من المعروف أن مجموعات السحابة يمكن أن يتم تكوينها بشكل خاطئ ، لذلك ليس من واجبنا المساعدة في تأمينها جميعًا. لكن لم يقم أحد بتنظيفها من قبل ، لذلك شعرنا أن لدينا واجبًا أخلاقيًا لتأمين أكثرها حساسية على الأقل قبل أن نكون قادرين على التحدث عن القضايا النظامية.

ما هو رأيك في هذا الموقف برمته؟ شاركنا بأفكارك في قسم التعليقات أدناه.