- Lebih dari 38 juta catatan bocor secara online karena orang-orang menggunakan konfigurasi default di portal Microsoft Power Apps.
- Data sensitif yang terekspos ini semuanya disimpan di layanan portal Power Apps Microsoft, menurut para peneliti.
- Setelah mengaktifkan API tertentu, platform secara default membuat data terkait dapat diakses publik.
- Kesalahan konfigurasi database berbasis cloud telah menjadi masalah serius selama bertahun-tahun, mengekspos sejumlah besar data ke akses yang tidak tepat atau pencurian.
Seperti yang Anda ketahui, Power Apps adalah platform kode rendah Microsoft bagi organisasi untuk mengembangkan aplikasi lengkap dengan cepat, sebagian besar untuk penggunaan internal, lengkap dengan frontend dan backend.
Ini benar-benar alat yang ampuh, yang memungkinkan Anda membangun aplikasi, bahkan jika Anda tidak ahli dalam pemrograman.
Meskipun Microsoft secara teratur memperbarui Power Apps dengan fitur dan kemampuan baru, laporan baru mungkin menimbulkan kekhawatiran bagi organisasi.
Tampaknya lebih dari 38 juta catatan telah bocor secara online karena orang-orang yang menggunakan konfigurasi default di portal Microsoft Power Apps.
Insiden tersebut berdampak pada perusahaan besar seperti American Airlines, Ford, perusahaan transportasi dan logistik J.B. Hunt, Departemen Kesehatan Maryland, Otoritas Transportasi Kota New York City, dan publik Kota New York sekolah.
Dan sementara eksposur data telah ditangani, mereka menunjukkan bagaimana satu pengaturan konfigurasi yang buruk di platform populer dapat memiliki konsekuensi yang luas.
Informasi pelacakan kontak yang diekspos melalui internet
Data yang diekspos semuanya disimpan di layanan portal Microsoft Power Apps, yang merupakan platform pengembangan yang memudahkan pembuatan aplikasi web atau seluler untuk penggunaan eksternal.
Jika Anda perlu menjalankan situs pendaftaran janji vaksin dengan cepat selama, katakanlah, pandemi, portal Power Apps dapat menghasilkan situs publik dan backend manajemen data.
Kembali pada bulan Mei, peneliti dari perusahaan keamanan Upguard mulai menyelidiki sejumlah besar portal Power Apps yang mengekspos data publik yang seharusnya bersifat pribadi.
Di antaranya adalah beberapa Power Apps yang dibuat Microsoft untuk keperluannya sendiri.
Namun, tidak ada data yang diketahui telah disusupi, tetapi temuan ini tetap penting, karena mengungkapkan kekeliruan dalam desain portal Power Apps yang telah diperbaiki.
Selain mengelola database internal dan menawarkan landasan untuk mengembangkan aplikasi, platform Power Apps juga menyediakan antarmuka pemrograman aplikasi siap pakai untuk berinteraksi dengan data tersebut.
Kesalahan konfigurasi menyebabkan kerentanan
Para peneliti dari Upguard menyadari bahwa ketika mengaktifkan API ini, platform secara default membuat data terkait dapat diakses publik.
Mengaktifkan pengaturan privasi adalah proses manual dan, akibatnya, banyak pelanggan salah mengonfigurasi aplikasi mereka dengan membiarkan default tidak aman.
Kami menemukan salah satu dari ini yang salah dikonfigurasi untuk mengekspos data dan kami pikir, kami belum pernah mendengar tentang ini, apakah ini masalah sekali atau ini masalah sistemik? Karena cara kerja produk portal Power Apps, sangat mudah untuk melakukan survei dengan cepat. Dan kami menemukan ada banyak sekali yang terekspos. Itu liar.
Microsoft sendiri mengekspos sejumlah database di portal Power Apps-nya sendiri, termasuk yang lama platform yang disebut Layanan Penggajian Global, dua portal Dukungan Alat Bisnis, dan Wawasan Pelanggan pintu gerbang.
Kesalahan konfigurasi database berbasis cloud telah menjadi masalah serius selama bertahun-tahun, mengekspos sejumlah besar data ke akses yang tidak tepat atau pencurian.
Perusahaan cloud besar seperti Amazon Web Services, Google Cloud Platform, dan Microsoft Azure semuanya telah mengambil langkah untuk menyimpan data pelanggan secara pribadi secara default sejak awal dan menandai potensi kesalahan konfigurasi, tetapi industri tidak memprioritaskan masalah ini sampai adil baru-baru ini.
Peneliti Upguard tidak dapat menjangkau setiap entitas, karena terlalu banyak, sehingga mereka juga mengungkapkan temuan tersebut kepada Microsoft.
Pengguna dapat memeriksa pengaturan portal mereka dengan alat Microsoft
Pada awal Agustus, Microsoft mengumumkan bahwa portal Power Apps sekarang akan menjadi default untuk menyimpan data API dan informasi lainnya secara pribadi.
Perusahaan Redmond juga merilis alat pelanggan dapat menggunakan untuk memeriksa pengaturan portal mereka.
Namun, di antara perbaikan Microsoft dan pemberitahuan UpGuard sendiri, para ahli sekarang mengatakan bahwa sebagian besar portal yang terbuka, dan semua yang paling sensitif, sekarang bersifat pribadi.
Dengan hal-hal lain yang telah kami kerjakan, sudah menjadi rahasia umum bahwa cloud bucket dapat salah dikonfigurasi, jadi bukan kewajiban kami untuk membantu mengamankan semuanya. Tetapi tidak ada yang pernah membersihkan ini sebelumnya, jadi kami merasa memiliki kewajiban etis untuk mengamankan setidaknya yang paling sensitif sebelum dapat berbicara tentang masalah sistemik.
Apa pendapat Anda tentang seluruh situasi ini? Bagikan pemikiran Anda dengan kami di bagian komentar di bawah.
