- Microsofti Power Appsi portaalides vaikekonfiguratsioone kasutavate inimeste tõttu lekkis veebis üle 38 miljoni kirje.
- Teadlaste sõnul salvestati need tundlikud andmed, mis paljastati, Microsofti portaali Power Apps teenusesse.
- Teatud API -de lubamisel tegi platvorm vaikimisi vastavad andmed avalikult kättesaadavaks.
- Pilvepõhiste andmebaaside vale konfigureerimine on aastate jooksul olnud tõsine probleem, mis toob tohutu hulga andmeid sobimatule juurdepääsule või vargusele.
Nagu teate, on Power Apps Microsofti madala koodiga platvorm, mille abil organisatsioonid saavad kiiresti arendada täisväärtuslikke rakendusi, peamiselt sisekasutuseks, koos kasutajaliidese ja taustaprogrammiga.
See on tõesti võimas tööriist, mis võimaldab teil rakendusi luua isegi siis, kui te pole programmeerimises hästi kursis.
Kuigi Microsoft uuendab regulaarselt Power Appsi uute funktsioonide ja võimalustega, võib uus aruanne organisatsioonidele muret teha.
Näib, et Microsofti Power Appsi portaalides vaikekonfiguratsioone kasutavate inimeste tõttu on veebis lekkinud üle 38 miljoni kirje.
Juhtum puudutas selliseid suuri ettevõtteid nagu American Airlines, Ford, transpordi- ja logistikaettevõte J.B. Hunt, Marylandi tervishoiuministeerium, New York City Municipal Transportation Authority ja New York City avalikkus koolid.
Ja kuigi andmetega kokkupuuteid on käsitletud, näitavad need, kuidas ühel halval konfiguratsiooniseadel populaarsel platvormil võivad olla kaugeleulatuvad tagajärjed.
Interneti kaudu avaldatud kontaktide jälgimise teave
Kõik paljastatud andmed salvestati Microsofti portaali Power Apps teenusesse, mis on arendusplatvorm, mis hõlbustab veebi- või mobiilirakenduste loomist välispidiseks kasutamiseks.
Kui teil on vaja pandeemia ajal kiiresti kokku leppida vaktsiini määramise registreerimissait, võivad Power Appsi portaalid luua nii avalikkusele suunatud saidi kui ka andmehalduse taustaprogrammi.
Veel mais uurisid turvafirma Upguard teadlased asus uurima suur hulk Power Appsi portaale, mis avalikustasid avalikult andmeid, mis oleksid pidanud olema privaatsed.
Nende hulgas olid mõned Power Apps, mille Microsoft tegi oma eesmärkidel.
Siiski pole teada, et ükski neist andmetest oleks ohtu sattunud, kuid leid on siiski oluline, kuna see paljastab Power Appsi portaalide ülesehituse, mis on pärast seda parandatud.
Lisaks sisemiste andmebaaside haldamisele ja rakenduste arendamise aluse pakkumisele pakub Power Appsi platvorm ka nende andmetega suhtlemiseks valmis rakenduste programmeerimisliideseid.
Vale konfiguratsioon toob kaasa haavatavuse
Upguardi teadlased mõistsid, et nende API -de lubamisel tegi platvorm vaikimisi vastavad andmed avalikult kättesaadavaks.
Privaatsusseadete lubamine oli käsitsi ja seetõttu seadistasid paljud kliendid oma rakendused valesti, jättes ebaturvalise vaikeseade.
Leidsime ühe neist, mis oli andmete avaldamiseks valesti konfigureeritud, ja arvasime, et me pole sellest kunagi kuulnud, kas see on ühekordne või on see süsteemne probleem? Power Appsi portaalide toote tööpõhimõtte tõttu on küsitluse kiire tegemine väga lihtne. Ja me avastasime, et neid on palju paljastatud. See oli metsik.
Microsoft ise paljastas oma Power Appsi portaalides mitmeid andmebaase, sealhulgas vana platvorm nimega Global Payroll Services, kaks Business Tools tugiportaali ja Customer Insights portaal.
Pilvepõhiste andmebaaside vale konfigureerimine on aastate jooksul olnud tõsine probleem, mis toob tohutu hulga andmeid sobimatule juurdepääsule või vargusele.
Suured pilveettevõtted, nagu Amazon Web Services, Google Cloud Platform ja Microsoft Azure, on kõik astunud samme klientide andmete salvestamiseks algusest peale vaikimisi privaatselt ja märkige ära võimalikud valesti seadistused, kuid tööstus ei seadnud probleemi esikohale enne õiglaselt hiljuti.
Upguardi teadlased ei saanud iga üksuse juurde, sest neid oli liiga palju, seega avaldasid nad leiud ka Microsoftile.
Kasutajad saavad oma portaali seadeid kontrollida Microsofti tööriista abil
Augusti alguses, Microsoft teatas et Power Appsi portaalid salvestavad nüüd vaikimisi API andmeid ja muud teavet privaatselt.
Redmondi ettevõte ka vabastas tööriista kliendid saavad oma portaali seadeid kontrollida.
Kuid Microsofti paranduste ja UpGuardi enda teadete vahel ütlevad eksperdid nüüd, et valdav enamus avatud portaalidest ja kõik kõige tundlikumad on nüüd privaatsed.
Muude asjadega, mille kallal oleme töötanud, on avalikkusele teada, et pilveämbrid võivad olla valesti konfigureeritud, seega ei ole meie kohustus neid kõiki kaitsta. Kuid keegi polnud neid kunagi varem koristanud, seega tundsime, et meil on eetiline kohustus kindlustada vähemalt kõige tundlikumad, enne kui saame rääkida süsteemsetest probleemidest.
Mida arvate kogu sellest olukorrast? Jagage oma mõtteid meiega allpool olevas kommentaaride jaotises.
