- Mere end 38 millioner poster blev lækket online på grund af folk, der brugte standardkonfigurationer i Microsoft Power Apps -portaler.
- Disse følsomme data, der blev afsløret, blev alle gemt i Microsofts Power Apps -portaltjeneste, ifølge forskere.
- Ved aktivering af visse API'er var platformen standard for at gøre de tilsvarende data offentligt tilgængelige.
- Fejlkonfigurationen af skybaserede databaser har været et alvorligt problem i årenes løb og har udsat enorme mængder data for upassende adgang eller tyveri.
Som du ved, er Power Apps Microsofts low-code platform for organisationer til hurtigt at udvikle fuldgyldige applikationer, mest til intern brug, komplet med en frontend og en backend.
Det er virkelig et kraftfuldt værktøj, der giver dig mulighed for at bygge apps, selvom du ikke er dygtig til at programmere.
Selvom Microsoft regelmæssigt opdaterer Power Apps med nye funktioner og muligheder, kan en ny rapport være årsag til bekymring for organisationer.
Det ser ud til, at over 38 millioner poster er lækket online på grund af folk, der bruger standardkonfigurationer i Microsoft Power Apps -portaler.
Hændelsen berørte store virksomheder som American Airlines, Ford, transport- og logistikvirksomheden J.B. Hunt, Maryland Department of Health, New York City Municipal Transportation Authority og New York City public skoler.
Og mens dataeksponeringerne er blevet behandlet, viser de, hvordan en dårlig konfigurationsindstilling i en populær platform kan have vidtrækkende konsekvenser.
Kontaktopsporende oplysninger afsløret over internettet
De data, der blev afsløret, blev alle gemt i Microsofts Power Apps -portaltjeneste, som er en udviklingsplatform, der gør det let at oprette web- eller mobilapps til ekstern brug.
Hvis du hurtigt skal oprette et registreringssted for en vaccinationsaftale under f.eks. En pandemi, kan Power Apps-portaler generere både det offentligt vendte websted og datastyringsbackend.
Tilbage i maj, forskere fra sikkerhedsfirmaet Upguard begyndte at undersøge et stort antal Power Apps -portaler, der offentligt afslørede data, der skulle have været private.
Blandt disse var nogle Power Apps, som Microsoft lavede til sine egne formål.
Ingen af dataene vides dog at være blevet kompromitteret, men fundet er stadig et vigtigt, da det afslører et tilsyn med designet af Power Apps -portaler, der siden er blevet rettet.
Udover at styre interne databaser og tilbyde et fundament til at udvikle apps, tilbyder Power Apps-platformen også færdige applikationsprogrammeringsinterfaces til at interagere med disse data.
Fejlkonfiguration fører til sårbarhed
Forskerne fra Upguard indså, at platformen som standard aktiverede disse data til at gøre de tilsvarende data offentligt tilgængelige.
Aktivering af privatlivsindstillinger var en manuel proces, og som følge heraf konfigurerede mange kunder deres apps forkert ved at forlade den usikre standard.
Vi fandt en af disse, der var forkert konfigureret til at afsløre data, og vi tænkte, at vi aldrig har hørt om dette, er dette en engangssag, eller er dette et systemisk problem? På grund af den måde Power Apps portals -produktet fungerer på, er det meget let hurtigt at lave en undersøgelse. Og vi opdagede, at der er masser af disse udsatte. Det var vildt.
Microsoft selv afslørede en række databaser i sine egne Power Apps -portaler, herunder en gammel platform kaldet Global Payroll Services, to Business Tools Support -portaler og en Customer Insights portal.
Fejlkonfigurationen af skybaserede databaser har været et alvorligt problem i årenes løb og har udsat enorme mængder data for upassende adgang eller tyveri.
Store skyfirmaer som Amazon Web Services, Google Cloud Platform og Microsoft Azure har alle taget skridt til at gemme kundernes data privat som standard fra starten og markere potentielle fejlkonfigurationer, men branchen prioriterede først problemet retfærdigt for nylig.
Upguard -forskerne kunne ikke komme til alle enheder, fordi der var for mange, så de videregav også resultaterne til Microsoft.
Brugere kan kontrollere deres portalindstillinger med Microsofts værktøj
I begyndelsen af august, Microsoft annoncerede at Power Apps -portaler nu som standard lagrer API -data og andre oplysninger privat.
Redmond -virksomheden også frigivet et værktøj kunder kan bruge til at kontrollere deres portalindstillinger.
Men mellem Microsofts rettelser og UpGuards egne meddelelser siger eksperter nu, at langt størstedelen af de udsatte portaler og alle de mest følsomme er nu private.
Med andre ting, vi har arbejdet med, er det offentlig viden om, at cloud -spande kan være forkert konfigureret, så det påhviler ikke os at hjælpe med at sikre dem alle. Men ingen havde nogensinde ryddet op i disse før, så vi følte, at vi havde en etisk pligt til at sikre mindst de mest følsomme, før vi kunne tale om de systemiske spørgsmål.
Hvad synes du om hele denne situation? Del dine tanker med os i kommentarfeltet herunder.
