- Více než 38 milionů záznamů uniklo online kvůli lidem, kteří používají výchozí konfigurace na portálech Microsoft Power Apps.
- Tato citlivá data, která byla odhalena, byla podle vědců uložena ve službě portálu Power Apps společnosti Microsoft.
- Po povolení určitých API platforma ve výchozím nastavení zpřístupnila odpovídající data veřejně.
- Nesprávná konfigurace cloudových databází je v průběhu let vážným problémem a vystavuje obrovské množství dat nevhodnému přístupu nebo krádeži.
Jak víte, Power Apps je platforma Microsoftu s nízkým kódem, která organizacím umožňuje rychle vyvíjet plnohodnotné aplikace, většinou pro interní použití, s frontendem a backendem.
Je to opravdu účinný nástroj, který vám umožňuje vytvářet aplikace, i když nejste dostatečně zruční v programování.
Přestože společnost Microsoft pravidelně aktualizuje Power Apps o nové funkce a možnosti, nová zpráva může být pro organizace důvodem k obavám.
Zdá se, že online uniklo přes 38 milionů záznamů kvůli lidem, kteří používají výchozí konfigurace na portálech Microsoft Power Apps.
Incident se týkal velkých společností, jako jsou American Airlines, Ford, přepravní a logistická společnost J.B. Hunt, Marylandské ministerstvo zdravotnictví, Městský dopravní úřad v New Yorku a veřejnost v New Yorku školy.
A přestože byly řešeny expozice dat, ukazují, jak jedno špatné nastavení konfigurace na populární platformě může mít dalekosáhlé důsledky.
Informace o sledování kontaktů zveřejněné na internetu
Data, která byla odhalena, byla všechna uložena ve službě Microsoft Power Apps portal, což je vývojová platforma, která usnadňuje vytváření webových nebo mobilních aplikací pro externí použití.
Pokud potřebujete rychle roztočit místo pro registraci schůzky s očkovací látkou během, řekněme, pandemie, portály Power Apps mohou generovat stránky určené pro veřejnost i backend pro správu dat.
Ještě v květnu vědci z bezpečnostní firmy Upguard začal vyšetřovat velký počet portálů Power Apps, které veřejně vystavovaly data, která měla být soukromá.
Mezi nimi bylo několik Power Apps, které Microsoft vytvořil pro své vlastní účely.
Není však známo, že by některá data byla kompromitována, ale zjištění je stále důležité, protože odhaluje nedopatření v návrhu portálů Power Apps, které bylo od té doby opraveno.
Kromě správy interních databází a nabízení základů pro vývoj aplikací poskytuje platforma Power Apps také hotová rozhraní pro programování aplikací, která s těmito daty interagují.
Nesprávná konfigurace vede k zranitelnosti
Vědci z Upguardu si uvědomili, že při povolení těchto API platforma přestala standardně zpřístupňovat odpovídající data veřejně.
Povolení nastavení ochrany osobních údajů byl ruční proces a v důsledku toho mnoho zákazníků nesprávně nakonfigurovalo své aplikace tím, že ponechalo nezabezpečené výchozí nastavení.
Našli jsme jeden z nich, který byl nesprávně nakonfigurován, aby odhalil data, a mysleli jsme si, že jsme o tom nikdy neslyšeli, je to jednorázová věc nebo je to systémový problém? Vzhledem k tomu, jak produkt portálů Power Apps funguje, je velmi snadné rychle provést průzkum. A zjistili jsme, že jsou tu vystaveny tuny. Bylo to divoké.
Samotný Microsoft odhalil řadu databází na svých vlastních portálech Power Apps, včetně starého platforma s názvem Global Payroll Services, dva portály podpory nástrojů Business Tools a Customer Insights portál.
Nesprávná konfigurace cloudových databází je v průběhu let vážným problémem a vystavuje obrovské množství dat nevhodnému přístupu nebo krádeži.
Velké cloudové společnosti jako Amazon Web Services, Google Cloud Platform a Microsoft Azure podnikly všechny kroky k uložení dat zákazníků soukromě ve výchozím nastavení od začátku a označují potenciální nesprávné konfigurace, ale průmysl tento problém neupřednostnil, dokud nebyl spravedlivý nedávno.
Vědci z Upguardu se nemohli dostat ke každému subjektu, protože jich bylo příliš mnoho, a tak také odhalili zjištění společnosti Microsoft.
Uživatelé mohou zkontrolovat nastavení svého portálu pomocí nástroje společnosti Microsoft
Na začátku srpna, Microsoft oznámil že portály Power Apps budou nyní standardně ukládat data API a další informace soukromě.
Společnost Redmond také uvolnil nástroj zákazníci mohou použít ke kontrole nastavení svého portálu.
Mezi opravami společnosti Microsoft a vlastními oznámeními UpGuard však odborníci nyní tvrdí, že drtivá většina vystavených portálů a všechny nejcitlivější jsou nyní soukromé.
Pokud jde o další věci, na kterých jsme pracovali, je veřejně známo, že cloudové segmenty mohou být špatně nakonfigurovány, takže není na nás, abychom je všechny pomohli zajistit. Ale nikdo je nikdy předtím neuklízel, takže jsme cítili, že máme etickou povinnost zajistit alespoň ty nejcitlivější, než budeme moci mluvit o systémových problémech.
Co si o celé této situaci myslíte? Podělte se s námi o své myšlenky v sekci komentáře níže.
