- Više od 38 milijuna zapisa procurilo je na internet zbog ljudi koji koriste zadane konfiguracije na portalima Microsoft Power Apps.
- Prema istraživačima, svi ti osjetljivi podaci koji su otkriveni pohranjeni su u Microsoftovoj usluzi portala Power Apps.
- Nakon omogućavanja određenih API -ja, platforma je zadane postavke učinila javne podatke dostupnim.
- Pogrešna konfiguracija baza podataka zasnovanih na oblaku ozbiljan je problem godinama, izlažući ogromne količine podataka neprikladnom pristupu ili krađi.
Kao što znate, Power Apps je Microsoftova platforma s niskim kodom za organizacije koje brzo razvijaju punopravne aplikacije, uglavnom za internu upotrebu, zajedno s sučeljem i pozadinom.
To je doista moćan alat koji vam omogućuje izradu aplikacija, čak i ako niste vješti u programiranju.
Iako Microsoft redovito ažurira Power Apps novim značajkama i mogućnostima, novo izvješće moglo bi biti razlog za zabrinutost organizacija.
Čini se da je preko 38 milijuna zapisa procurilo na internet zbog ljudi koji koriste zadane konfiguracije na portalima Microsoft Power Apps.
Incident je zahvatio velike tvrtke kao što su American Airlines, Ford, transportna i logistička tvrtka J.B. Hunt, Ministarstvo zdravstva Marylanda, Gradsko prijevozničko tijelo New Yorka i javnost u New Yorku školama.
I dok su izloženosti podataka riješene, one pokazuju kako jedna loša konfiguracija u popularnoj platformi može imati dalekosežne posljedice.
Podaci o traženju kontakata izloženi putem interneta
Svi izloženi podaci pohranjeni su u Microsoftovoj usluzi portala Power Apps, razvojnoj platformi koja olakšava izradu web ili mobilnih aplikacija za vanjsku upotrebu.
Ako trebate ubrzati web mjesto za prijavu za imenovanje cjepiva tijekom, recimo, pandemije, portali Power Apps mogu generirati i javno mjesto i pozadinu za upravljanje podacima.
Još u svibnju su istraživači sigurnosne tvrtke Upguard započeo istragu veliki broj Power Apps portala koji su javno otkrili podatke koji su trebali biti privatni.
Među njima su bile neke Power Apps koje je Microsoft napravio za vlastite potrebe.
Međutim, nije poznato da je bilo koji od podataka ugrožen, ali je nalaz i dalje važan jer otkriva nadzor u dizajnu portala Power Apps koji je u međuvremenu popravljen.
Osim upravljanja internim bazama podataka i ponude temelja za razvoj aplikacija, platforma Power Apps također nudi gotova sučelja za programiranje aplikacija za interakciju s tim podacima.
Pogrešna konfiguracija dovodi do ranjivosti
Istraživači iz Upguarda shvatili su da je omogućavanjem ovih API -ja platforma zadano učinila odgovarajuće podatke javno dostupnima.
Omogućavanje postavki privatnosti bio je ručni postupak i zbog toga su mnogi korisnici pogrešno konfigurirali svoje aplikacije ostavljajući nesigurnu zadanu vrijednost.
Pronašli smo jedan od njih koji je pogrešno konfiguriran za otkrivanje podataka i pomislili smo, nikad nismo čuli za ovo, je li ovo jednokratno ili je ovo sistemski problem? Zbog načina rada proizvoda portala Power Apps vrlo je brzo brzo napraviti anketu. Otkrili smo da ima izloženih tona. Bilo je divlje.
Sam je Microsoft izložio brojne baze podataka na vlastitim portalima Power Apps, uključujući staru platformu pod nazivom Global Payroll Services, dva portala za podršku poslovnim alatima i Customer Insights portal.
Pogrešna konfiguracija baza podataka zasnovanih na oblaku ozbiljan je problem godinama, izlažući ogromne količine podataka neprikladnom pristupu ili krađi.
Velike tvrtke u oblaku poput Amazon Web Services, Google Cloud Platform i Microsoft Azure poduzele su sve korake za pohranu podataka korisnika privatno prema zadanim postavkama od početka i označiti potencijalne pogrešne konfiguracije, ali industrija nije do pravednosti dala prioritet tom pitanju nedavno.
Istraživači Upguarda nisu mogli doći do svakog entiteta, jer ih je bilo previše, pa su otkriće otkrili i Microsoftu.
Korisnici mogu provjeriti postavke svog portala pomoću Microsoftovog alata
Početkom kolovoza, Microsoft je objavio da će portali Power Apps sada prema zadanim postavkama privatno pohranjivati podatke API -ja i druge podatke.
Redmond tvrtka također pustio alat korisnici mogu koristiti za provjeru postavki portala.
No, između Microsoftovih popravaka i UpGuardovih vlastitih obavijesti, stručnjaci sada kažu da je velika većina izloženih portala, i svi oni najosjetljiviji, sada privatni.
S ostalim stvarima na kojima smo radili, javno je poznato da se oblaci u oblaku mogu pogrešno konfigurirati, pa na nama nije dužnost da ih zaštitimo. No, nitko ih dosad nije očistio, pa smo smatrali da imamo etičku dužnost osigurati barem one najosjetljivije prije nego što smo mogli razgovarati o sistemskim pitanjima.
Što mislite o cijeloj ovoj situaciji? Podijelite svoja razmišljanja s nama u donjem odjeljku komentara.
