- Повече от 38 милиона записа са изтекли онлайн поради това, че хората използват конфигурации по подразбиране в портала на Microsoft Power Apps.
- Според изследователите тези чувствителни данни, които са били разкрити, са били съхранявани в услугата на портала Power Apps на Microsoft.
- След активиране на определени API, платформата по подразбиране направи съответните данни публично достъпни.
- Неправилното конфигуриране на базирани в облак бази данни е сериозен проблем през годините, излагайки огромни количества данни на неподходящ достъп или кражба.
Както знаете, Power Apps е платформата с нисък код на Microsoft за организации, които бързо да разработват пълноценни приложения, предимно за вътрешна употреба, пълни с интерфейс и бекенд.
Това наистина е мощен инструмент, който ви позволява да създавате приложения, дори ако не сте добре опитни в програмирането.
Въпреки че Microsoft редовно актуализира Power Apps с нови функции и възможности, нов доклад може да бъде причина за безпокойство за организациите.
Изглежда, че над 38 милиона записа са изтекли онлайн поради това, че хората използват конфигурации по подразбиране в портала на Microsoft Power Apps.
Инцидентът засегна големи компании като American Airlines, Ford, транспортната и логистичната компания J.B. Хънт, Министерството на здравеопазването на Мериленд, Общинския транспортен орган на Ню Йорк и обществеността в Ню Йорк училища.
И докато експозициите на данни са били адресирани, те показват как една лоша конфигурационна настройка в популярна платформа може да има далечни последици.
Информация за проследяване на контакти, разкрита в интернет
Всички данни, които бяха изложени, бяха съхранени в услугата на Microsoft Power Apps portal, която е платформа за разработка, която улеснява създаването на уеб или мобилни приложения за външна употреба.
Ако трябва да създадете сайт за регистрация на ваксина бързо по време на, да речем, пандемия, порталите на Power Apps могат да генерират както публичния сайт, така и бекенда за управление на данни.
Още през май изследователи от охранителната фирма Upguard започна разследване голям брой портали на Power Apps, които публично разкриват данни, които би трябвало да са частни.
Сред тях бяха някои Power Apps, които Microsoft направи за свои собствени цели.
Известно е обаче, че нито една от данните не е била компрометирана, но констатацията е все още важна, тъй като разкрива пропуск в дизайна на портала на Power Apps, който оттогава е поправен.
Освен че управлява вътрешни бази данни и предлага основа за разработване на приложения, платформата Power Apps предоставя и готови интерфейси за програмиране на приложения за взаимодействие с тези данни.
Неправилната конфигурация води до уязвимост
Изследователите от Upguard осъзнаха, че когато активират тези API, платформата по подразбиране прави съответните данни публично достъпни.
Активирането на настройките за поверителност беше ръчен процес и в резултат на това много клиенти неправилно конфигурираха своите приложения, оставяйки несигурното по подразбиране.
Открихме едно от тях, което е неправилно конфигурирано за излагане на данни и си помислихме, че никога не сме чували за това, това еднократно ли е или това е системен проблем? Поради начина, по който работи продуктът на порталите Power Apps, е много лесно бързо да направите проучване. И открихме, че има изложени тонове от тях. Беше диво.
Самата Microsoft разкри редица бази данни в собствените си портали на Power Apps, включително стара платформа, наречена Global Payroll Services, два портала за поддръжка на бизнес инструменти и Customer Insights портал.
Неправилното конфигуриране на базирани в облак бази данни е сериозен проблем през годините, излагайки огромни количества данни на неподходящ достъп или кражба.
Големите облачни компании като Amazon Web Services, Google Cloud Platform и Microsoft Azure са предприели всички стъпки за съхраняване на данните на клиентите частно по подразбиране от началото и отбелязва потенциални неправилни конфигурации, но индустрията не приоритизира проблема до справедливост наскоро.
Изследователите на Upguard не можаха да стигнат до всяко предприятие, тъй като имаше твърде много, така че те също разкриха констатациите на Microsoft.
Потребителите могат да проверят настройките на портала си с инструмента на Microsoft
В началото на август, Microsoft обяви че портала на Power Apps по подразбиране ще съхранява частно API данни и друга информация.
Компанията Redmond също пусна инструмент клиентите могат да използват за проверка на настройките на портала.
Но между корекциите на Microsoft и собствените известия на UpGuard, експертите сега казват, че по -голямата част от откритите портали и всички най -чувствителните вече са частни.
С други неща, по които сме работили, е обществено известно, че облачните кофи могат да бъдат неправилно конфигурирани, така че не сме задължени да им помагаме да ги защитим. Но никой никога досега не е почиствал тези неща, така че чувствахме, че имаме етично задължение да осигурим поне най -чувствителните, преди да можем да говорим за системните проблеми.
Какво е вашето мнение за цялата тази ситуация? Споделете вашите мисли с нас в секцията за коментари по -долу.
