- Yli 38 miljoonaa tietuetta on vuotanut verkkoon, koska ihmiset käyttävät oletusasetuksia Microsoft Power Apps -portaaleissa.
- Nämä arkaluonteiset tiedot, jotka paljastettiin, tallennettiin tutkijoiden mukaan Microsoftin Power Apps -portaalipalveluun.
- Kun tietyt sovellusliittymät on otettu käyttöön, alusta oletusarvoisesti asettaa vastaavat tiedot julkisesti saataville.
- Pilvipohjaisten tietokantojen virheellinen määritys on ollut vakava ongelma vuosien varrella ja altistanut valtavat tietomäärät sopimattomalle käytölle tai varkauksille.
Kuten tiedätte, Power Apps on Microsoftin matalan koodin alusta organisaatioille, jotka voivat nopeasti kehittää täysimittaisia sovelluksia, lähinnä sisäiseen käyttöön, sekä käyttöliittymän ja taustaohjelman.
Se on todella tehokas työkalu, jonka avulla voit rakentaa sovelluksia, vaikka et olisikaan ohjelmointitaitoinen.
Vaikka Microsoft päivittää Power Appsia säännöllisesti uusilla ominaisuuksilla ja ominaisuuksilla, uusi raportti saattaa aiheuttaa huolta organisaatioille.
Näyttää siltä, että yli 38 miljoonaa tietuetta on vuotanut verkkoon, koska ihmiset käyttävät oletusasetuksia Microsoft Power Apps -portaaleissa.
Tapaus vaikutti suuriin yrityksiin, kuten American Airlines, Ford, kuljetus- ja logistiikkayritys J.B. Hunt, Marylandin terveysministeriö, New York City Municipal Transportation Authority ja New Yorkin yleisö kouluja.
Ja vaikka tietojen altistumista on käsitelty, ne osoittavat, kuinka yhdellä huonolla kokoonpanoasetuksella suositulla alustalla voi olla kauaskantoisia seurauksia.
Internetissä paljastetut yhteystietojen jäljitystiedot
Kaikki paljastetut tiedot tallennettiin Microsoftin Power Apps -portaalipalveluun, joka on kehitysalusta, jonka avulla on helppo luoda verkko- tai mobiilisovelluksia ulkoiseen käyttöön.
Jos sinun on luotava rokotusaikojen rekisteröintisivusto nopeasti esimerkiksi pandemian aikana, Power Apps -portaalit voivat luoda sekä julkisen sivuston että tiedonhallinnan taustaohjelman.
Toukokuussa tutkijat turvallisuusyrityksestä Upguard alkoi tutkia suuri määrä Power Apps -portaaleja, jotka paljastivat julkisesti tietoja, joiden olisi pitänyt olla yksityisiä.
Näiden joukossa oli joitain Microsoftin omiin tarkoituksiin tekemiä Power -sovelluksia.
Kukaan tiedoista ei kuitenkaan tiedetä vaarantuneen, mutta havainto on edelleen tärkeä, koska se paljastaa, että Power Apps -portaalien suunnittelussa on sittemmin korjattu valvonta.
Sisäisten tietokantojen hallinnan ja sovellusten kehittämisen perustan lisäksi Power Apps -alusta tarjoaa myös valmiita sovellusohjelmointirajapintoja vuorovaikutukseen näiden tietojen kanssa.
Virheelliset määritykset johtavat haavoittuvuuteen
Upguardin tutkijat ymmärsivät, että kun nämä sovellusliittymät otettiin käyttöön, alusta ei olettanut asettaa vastaavia tietoja julkisesti saataville.
Tietosuoja -asetusten ottaminen käyttöön oli manuaalinen prosessi, ja siksi monet asiakkaat määrittivät sovelluksensa väärin jättämällä turvattoman oletusasetuksen.
Löysimme yhden näistä, jotka oli määritetty väärin paljastamaan tietoja, ja ajattelimme, ettemme ole koskaan kuulleet tästä, onko tämä kertaluonteinen asia vai onko tämä systeeminen ongelma? Power Apps -portaalituotteen toimintatavan vuoksi kyselyn tekeminen on erittäin helppoa. Ja huomasimme, että näitä on paljastettu tonnia. Se oli villi.
Microsoft itse paljasti useita tietokantoja omissa Power Apps -portaaleissaan, mukaan lukien vanha Global Payroll Services -alusta, kaksi Business Tools -tukiportaalia ja Customer Insights portaali.
Pilvipohjaisten tietokantojen virheellinen määritys on ollut vakava ongelma vuosien varrella ja altistanut valtavat tietomäärät sopimattomalle käytölle tai varkauksille.
Suuret pilviyritykset, kuten Amazon Web Services, Google Cloud Platform ja Microsoft Azure, ovat kaikki toteuttaneet toimenpiteitä asiakkaiden tietojen tallentamiseksi oletusarvoisesti yksityisesti alusta alkaen ja merkitse mahdolliset virheelliset kokoonpanot, mutta toimiala asetti ongelman etusijalle vasta oikeudenmukaisesti äskettäin.
Upguardin tutkijat eivät päässeet kaikkiin yksiköihin, koska niitä oli liikaa, joten he myös paljastivat havainnot Microsoftille.
Käyttäjät voivat tarkistaa portaalinsa asetukset Microsoftin työkalulla
Elokuun alussa, Microsoft ilmoitti että Power Apps -portaalit tallentavat nyt oletusarvoisesti sovellusliittymän tiedot ja muut tiedot yksityisesti.
Myös Redmond -yhtiö julkaisi työkalun asiakkaat voivat tarkistaa portaalin asetukset.
Mutta Microsoftin korjausten ja UpGuardin omien ilmoitusten välissä asiantuntijat sanovat nyt, että valtaosa paljastetuista portaaleista ja kaikki arkaluonteisimmat ovat nyt yksityisiä.
Muiden asioiden parissa, joita olemme työskennelleet, on yleisesti tiedossa, että pilvikauhat voidaan määrittää väärin, joten meidän ei ole velvollinen auttamaan niitä kaikkia. Mutta kukaan ei ollut koskaan puhdistanut niitä ennen, joten tunsimme, että meillä oli eettinen velvollisuus turvata ainakin kaikkein arkaluonteisimmat ennen kuin voimme puhua systeemisistä kysymyksistä.
Mitä mieltä olet koko tästä tilanteesta? Jaa ajatuksesi kanssamme alla olevissa kommenttiosioissa.
