- Microsoft Power Apps पोर्टल में डिफ़ॉल्ट कॉन्फ़िगरेशन का उपयोग करने वाले लोगों के कारण 38 मिलियन से अधिक रिकॉर्ड ऑनलाइन लीक हो गए।
- शोधकर्ताओं के अनुसार, उजागर हुआ यह संवेदनशील डेटा Microsoft की Power Apps पोर्टल सेवा में संग्रहीत किया गया था।
- कुछ एपीआई को सक्षम करने पर, प्लेटफ़ॉर्म संबंधित डेटा को सार्वजनिक रूप से सुलभ बनाने में चूक करता है।
- क्लाउड-आधारित डेटाबेस का गलत कॉन्फ़िगरेशन वर्षों से एक गंभीर मुद्दा रहा है, जिससे बड़ी मात्रा में डेटा अनुचित पहुंच या चोरी हो गया है।
जैसा कि आप जानते हैं, Power Apps Microsoft का निम्न-कोड प्लेटफ़ॉर्म है जो संगठनों के लिए पूर्ण विकसित अनुप्रयोगों को जल्दी से विकसित करता है, ज्यादातर आंतरिक उपयोग के लिए, एक फ्रंटएंड और एक बैकएंड के साथ पूर्ण।
यह वास्तव में एक शक्तिशाली उपकरण है, जो आपको ऐप्स बनाने की अनुमति देता है, भले ही आप प्रोग्रामिंग में अच्छी तरह से कुशल न हों।
भले ही Microsoft नियमित रूप से नई सुविधाओं और क्षमताओं के साथ Power Apps को अपडेट करता है, एक नई रिपोर्ट संगठनों के लिए चिंता का कारण हो सकती है।
ऐसा प्रतीत होता है कि Microsoft Power Apps पोर्टल में डिफ़ॉल्ट कॉन्फ़िगरेशन का उपयोग करने वाले लोगों के कारण 38 मिलियन से अधिक रिकॉर्ड ऑनलाइन लीक हो गए हैं।
इस घटना ने अमेरिकन एयरलाइंस, फोर्ड, परिवहन और रसद कंपनी जे.बी. हंट, मैरीलैंड स्वास्थ्य विभाग, न्यूयॉर्क सिटी म्यूनिसिपल ट्रांसपोर्टेशन अथॉरिटी, और न्यूयॉर्क सिटी पब्लिक स्कूल।
और जब डेटा एक्सपोज़र को संबोधित किया गया है, तो वे दिखाते हैं कि कैसे एक लोकप्रिय प्लेटफ़ॉर्म में एक खराब कॉन्फ़िगरेशन सेटिंग के दूरगामी परिणाम हो सकते हैं।
इंटरनेट पर उजागर हुई संपर्क-अनुरेखण जानकारी
जो डेटा उजागर हुआ था वह सभी Microsoft की Power Apps पोर्टल सेवा में संग्रहीत किया गया था, जो एक ऐसा विकास प्लेटफ़ॉर्म है जो बाहरी उपयोग के लिए वेब या मोबाइल ऐप बनाना आसान बनाता है।
यदि आपको महामारी के दौरान वैक्सीन अपॉइंटमेंट साइन-अप साइट को जल्दी से स्पिन करने की आवश्यकता है, तो Power Apps पोर्टल सार्वजनिक-सामना करने वाली साइट और डेटा प्रबंधन बैकएंड दोनों उत्पन्न कर सकते हैं।
मई में वापस, सुरक्षा फर्म अपगार्ड के शोधकर्ता जांच शुरू कर दी बड़ी संख्या में Power Apps पोर्टल जो सार्वजनिक रूप से ऐसे डेटा को उजागर करते हैं जिन्हें निजी होना चाहिए था।
इनमें से कुछ Power Apps थे जिन्हें Microsoft ने अपने उद्देश्यों के लिए बनाया था।
हालांकि, किसी भी डेटा के साथ छेड़छाड़ किए जाने की जानकारी नहीं है, लेकिन खोज अभी भी एक महत्वपूर्ण है, क्योंकि यह Power Apps पोर्टल्स के डिज़ाइन में एक निरीक्षण को प्रकट करता है जिसे तब से ठीक कर दिया गया है।
आंतरिक डेटाबेस को प्रबंधित करने और ऐप्स विकसित करने के लिए एक आधार प्रदान करने के अलावा, Power Apps प्लेटफ़ॉर्म उस डेटा के साथ इंटरैक्ट करने के लिए तैयार एप्लिकेशन प्रोग्रामिंग इंटरफ़ेस भी प्रदान करता है।
गलत कॉन्फ़िगरेशन भेद्यता की ओर ले जाता है
अपगार्ड के शोधकर्ताओं ने महसूस किया कि इन एपीआई को सक्षम करते समय, प्लेटफ़ॉर्म संबंधित डेटा को सार्वजनिक रूप से सुलभ बनाने में चूक करता है।
गोपनीयता सेटिंग्स को सक्षम करना एक मैन्युअल प्रक्रिया थी और इसके परिणामस्वरूप, कई ग्राहकों ने असुरक्षित डिफ़ॉल्ट को छोड़कर अपने ऐप्स को गलत तरीके से कॉन्फ़िगर किया।
हमने इनमें से एक पाया जिसे डेटा को उजागर करने के लिए गलत तरीके से कॉन्फ़िगर किया गया था और हमने सोचा, हमने इसके बारे में कभी नहीं सुना है, क्या यह एक बार की बात है या यह एक प्रणालीगत मुद्दा है? Power Apps पोर्टल उत्पाद जिस तरह से काम करता है, उसके कारण सर्वेक्षण को तुरंत करना बहुत आसान है। और हमने पाया कि इनमें से कई टन उजागर हुए हैं। यह जंगली था।
Microsoft ने स्वयं अपने स्वयं के Power Apps पोर्टलों में कई डेटाबेसों को उजागर किया, जिनमें एक पुराना. भी शामिल है ग्लोबल पेरोल सर्विसेज नामक प्लेटफॉर्म, दो बिजनेस टूल्स सपोर्ट पोर्टल और एक कस्टमर इनसाइट्स द्वार।
क्लाउड-आधारित डेटाबेस का गलत कॉन्फ़िगरेशन वर्षों से एक गंभीर मुद्दा रहा है, जिससे बड़ी मात्रा में डेटा अनुचित पहुंच या चोरी हो गया है।
Amazon Web Services, Google Cloud Platform और Microsoft Azure जैसी बड़ी क्लाउड कंपनियों ने ग्राहकों के डेटा को स्टोर करने के लिए सभी कदम उठाए हैं शुरुआत से डिफ़ॉल्ट रूप से निजी तौर पर और संभावित गलत कॉन्फ़िगरेशन को चिह्नित करें, लेकिन उद्योग ने इस मुद्दे को तब तक प्राथमिकता नहीं दी जब तक कि निष्पक्ष हाल ही में।
Upguard शोधकर्ता हर इकाई तक नहीं पहुंच सके, क्योंकि बहुत अधिक थे, इसलिए उन्होंने Microsoft को निष्कर्षों का भी खुलासा किया।
उपयोगकर्ता Microsoft के टूल से अपनी पोर्टल सेटिंग की जांच कर सकते हैं
अगस्त की शुरुआत में, माइक्रोसॉफ्ट ने घोषणा की कि Power Apps पोर्टल अब API डेटा और अन्य जानकारी को निजी रूप से संग्रहीत करने के लिए डिफ़ॉल्ट होंगे।
रेडमंड कंपनी भी एक उपकरण जारी किया ग्राहक अपनी पोर्टल सेटिंग्स की जांच करने के लिए उपयोग कर सकते हैं।
लेकिन, Microsoft के सुधारों और UpGuard की अपनी सूचनाओं के बीच, विशेषज्ञ अब कहते हैं कि अधिकांश उजागर पोर्टल और सभी सबसे संवेदनशील पोर्टल अब निजी हैं।
अन्य चीजों के साथ, जिन पर हमने काम किया है, यह सार्वजनिक ज्ञान है कि क्लाउड बकेट को गलत तरीके से कॉन्फ़िगर किया जा सकता है, इसलिए उन सभी को सुरक्षित करने में मदद करना हम पर निर्भर नहीं है। लेकिन किसी ने भी इन्हें पहले कभी साफ नहीं किया था, इसलिए हमने महसूस किया कि प्रणालीगत मुद्दों पर बात करने से पहले कम से कम सबसे संवेदनशील लोगों को सुरक्षित करना हमारा नैतिक कर्तव्य था।
इस पूरी स्थिति पर आपका क्या ख्याल है? नीचे टिप्पणी अनुभाग में अपने विचार हमारे साथ साझा करें।
