- Περισσότερα από 38 εκατομμύρια δίσκοι διέρρευσαν στο διαδίκτυο λόγω των ατόμων που χρησιμοποιούν προεπιλεγμένες ρυθμίσεις στις πύλες Microsoft Power Apps.
- Αυτά τα ευαίσθητα δεδομένα που εκτέθηκαν αποθηκεύτηκαν στην πύλη της Microsoft Power Apps, σύμφωνα με τους ερευνητές.
- Με την ενεργοποίηση ορισμένων API, η πλατφόρμα προεπιλογή ήταν να καταστήσει τα αντίστοιχα δεδομένα δημόσια προσβάσιμα.
- Η λανθασμένη διαμόρφωση βάσεων δεδομένων που βασίζονται σε σύννεφο ήταν ένα σοβαρό ζήτημα τα τελευταία χρόνια, εκθέτοντας τεράστιες ποσότητες δεδομένων σε ακατάλληλη πρόσβαση ή κλοπή.
Όπως γνωρίζετε, το Power Apps είναι η πλατφόρμα χαμηλού κώδικα της Microsoft για τους οργανισμούς να αναπτύσσουν γρήγορα πλήρεις εφαρμογές, κυρίως για εσωτερική χρήση, συνοδευόμενες από μια πρόσοψη και ένα backend.
Είναι πραγματικά ένα ισχυρό εργαλείο, που σας επιτρέπει να δημιουργείτε εφαρμογές, ακόμη και αν δεν είστε καλά ειδικευμένοι στον προγραμματισμό.
Παρόλο που η Microsoft ενημερώνει τακτικά τις Εφαρμογές Power με νέες δυνατότητες και δυνατότητες, μια νέα αναφορά μπορεί να προκαλεί ανησυχία στους οργανισμούς.
Φαίνεται ότι πάνω από 38 εκατομμύρια δίσκοι έχουν διαρρεύσει στο διαδίκτυο λόγω των ατόμων που χρησιμοποιούν προεπιλεγμένες ρυθμίσεις στις πύλες του Microsoft Power Apps.
Το περιστατικό επηρέασε μεγάλες εταιρείες όπως η American Airlines, η Ford, η εταιρεία μεταφορών και εφοδιαστικής J.B. Hunt, το Υπουργείο Υγείας του Μέριλαντ, η Δημοτική Αρχή Μεταφορών της Νέας Υόρκης και το κοινό της Νέας Υόρκης σχολεία.
Και ενώ οι εκθέσεις δεδομένων έχουν αντιμετωπιστεί, δείχνουν πώς μια κακή ρύθμιση παραμέτρων σε μια δημοφιλή πλατφόρμα μπορεί να έχει εκτεταμένες συνέπειες.
Οι πληροφορίες εντοπισμού επαφών εκτίθενται στο Διαδίκτυο
Τα δεδομένα που εκτέθηκαν αποθηκεύτηκαν όλα στην υπηρεσία πύλης Power Apps της Microsoft, η οποία είναι μια πλατφόρμα ανάπτυξης που διευκολύνει τη δημιουργία ιστού ή εφαρμογών για κινητά για εξωτερική χρήση.
Εάν πρέπει να περιστρέψετε γρήγορα έναν ιστότοπο εγγραφής ραντεβού εμβολίου κατά τη διάρκεια, για παράδειγμα, μιας πανδημίας, οι πύλες του Power Apps μπορούν να δημιουργήσουν τόσο τον ιστότοπο που δημοσιεύεται όσο και το backend διαχείρισης δεδομένων.
Τον Μάιο, ερευνητές από την εταιρεία ασφαλείας Upguard άρχισε να ερευνά ένας μεγάλος αριθμός πύλων Power Apps που εξέθεσαν δημόσια δεδομένα που θα έπρεπε να ήταν ιδιωτικά.
Μεταξύ αυτών ήταν μερικές Power Apps που έφτιαξε η Microsoft για δικούς της σκοπούς.
Ωστόσο, κανένα από τα δεδομένα δεν είναι γνωστό ότι έχει παραβιαστεί, αλλά το εύρημα εξακολουθεί να είναι σημαντικό, καθώς αποκαλύπτει μια παραβίαση στο σχεδιασμό των πυλών Power Apps που έχει διορθωθεί έκτοτε.
Εκτός από τη διαχείριση εσωτερικών βάσεων δεδομένων και την προσφορά βάσης για την ανάπτυξη εφαρμογών, η πλατφόρμα Power Apps παρέχει επίσης έτοιμες διεπαφές προγραμματισμού εφαρμογών για αλληλεπίδραση με αυτά τα δεδομένα.
Η εσφαλμένη διαμόρφωση οδηγεί σε ευπάθεια
Οι ερευνητές από το Upguard συνειδητοποίησαν ότι όταν ενεργοποιούσαν αυτά τα API, η πλατφόρμα προεπιλεγεί να κάνει τα αντίστοιχα δεδομένα δημόσια προσβάσιμα.
Η ενεργοποίηση των ρυθμίσεων απορρήτου ήταν μια μη αυτόματη διαδικασία και, ως αποτέλεσμα, πολλοί πελάτες έκαναν εσφαλμένη διαμόρφωση των εφαρμογών τους αφήνοντας την ανασφαλή προεπιλογή.
Βρήκαμε ένα από αυτά που ήταν εσφαλμένα διαμορφωμένο για να εκθέτει δεδομένα και σκεφτήκαμε, δεν το έχουμε ξανακούσει αυτό, είναι κάτι μοναδικό ή είναι συστημικό ζήτημα; Λόγω του τρόπου με τον οποίο λειτουργούν οι πύλες του Power Apps, είναι πολύ εύκολο να κάνετε γρήγορα μια έρευνα. Και ανακαλύψαμε ότι υπάρχουν τόνοι από αυτά εκτεθειμένα. Wildταν άγριο.
Η ίδια η Microsoft εξέθεσε μια σειρά από βάσεις δεδομένων στις δικές της πύλες Power Apps, συμπεριλαμβανομένης μιας παλιάς πλατφόρμα που ονομάζεται Παγκόσμια υπηρεσία μισθοδοσίας, δύο πύλες υποστήριξης επιχειρηματικών εργαλείων και μια γνώση πελατών πύλη.
Η λανθασμένη διαμόρφωση βάσεων δεδομένων που βασίζονται σε σύννεφο ήταν ένα σοβαρό ζήτημα τα τελευταία χρόνια, εκθέτοντας τεράστιες ποσότητες δεδομένων σε ακατάλληλη πρόσβαση ή κλοπή.
Μεγάλες εταιρείες cloud όπως Amazon Web Services, Google Cloud Platform και Microsoft Azure έχουν λάβει όλα μέτρα για την αποθήκευση δεδομένων πελατών ιδιωτικά από προεπιλογή από την αρχή και επισημάνετε πιθανές εσφαλμένες διαμορφώσεις, αλλά η βιομηχανία δεν έδωσε προτεραιότητα στο ζήτημα μέχρι δίκαιου πρόσφατα.
Οι ερευνητές της Upguard δεν μπόρεσαν να φτάσουν σε κάθε οντότητα, επειδή ήταν πάρα πολλές, οπότε αποκάλυψαν επίσης τα ευρήματα στη Microsoft.
Οι χρήστες μπορούν να ελέγξουν τις ρυθμίσεις της πύλης τους με το εργαλείο της Microsoft
Στις αρχές Αυγούστου, Η Microsoft ανακοίνωσε ότι οι πύλες Power Apps θα είναι πλέον προεπιλεγμένες για την ιδιωτική αποθήκευση δεδομένων API και άλλων πληροφοριών.
Η εταιρεία Redmond επίσης κυκλοφόρησε ένα εργαλείο οι πελάτες μπορούν να χρησιμοποιήσουν για να ελέγξουν τις ρυθμίσεις της πύλης τους.
Αλλά, μεταξύ των διορθώσεων της Microsoft και των ειδοποιήσεων της UpGuard, οι ειδικοί λένε τώρα ότι η συντριπτική πλειοψηφία των εκτεθειμένων πυλών, και όλες οι πιο ευαίσθητες, είναι πλέον ιδιωτικές.
Με άλλα πράγματα στα οποία έχουμε δουλέψει, είναι δημόσια γνωστό ότι οι κάδοι cloud μπορούν να παραμορφωθούν λανθασμένα, επομένως δεν είναι υποχρέωση μας να συμβάλλουμε στην ασφάλεια όλων αυτών. Αλλά κανείς δεν τα είχε καθαρίσει ποτέ στο παρελθόν, οπότε θεωρήσαμε ότι είχαμε ένα ηθικό καθήκον να εξασφαλίσουμε τουλάχιστον τα πιο ευαίσθητα, προτού μπορέσουμε να μιλήσουμε για τα συστημικά ζητήματα.
Ποια είναι η άποψή σας για όλη αυτή την κατάσταση; Μοιραστείτε τις σκέψεις σας μαζί μας στην παρακάτω ενότητα σχολίων.
