- Più di 38 milioni di record sono trapelati online a causa di persone che utilizzano configurazioni predefinite nei portali di Microsoft Power Apps.
- Questi dati sensibili che sono stati esposti sono stati tutti archiviati nel servizio del portale Power Apps di Microsoft, secondo i ricercatori.
- Dopo aver abilitato determinate API, la piattaforma ha reso i dati corrispondenti pubblicamente accessibili.
- L'errata configurazione dei database basati su cloud è stata un problema serio nel corso degli anni, esponendo enormi quantità di dati ad accessi inappropriati o furti.
Come saprai, Power Apps è la piattaforma low-code di Microsoft che consente alle organizzazioni di sviluppare rapidamente applicazioni complete, principalmente per uso interno, complete di frontend e backend.
È davvero uno strumento potente, che ti consente di creare app, anche se non sei esperto di programmazione.
Anche se Microsoft aggiorna regolarmente Power Apps con nuove funzionalità e funzionalità, un nuovo report potrebbe essere motivo di preoccupazione per le organizzazioni.
Sembrerebbe che oltre 38 milioni di record siano trapelati online a causa di persone che utilizzano configurazioni predefinite nei portali di Microsoft Power Apps.
L'incidente ha colpito importanti compagnie come American Airlines, Ford, la società di trasporti e logistica J.B. Hunt, il Dipartimento della Sanità del Maryland, l'Autorità municipale dei trasporti di New York City e il pubblico di New York City scuole.
E mentre le esposizioni ai dati sono state affrontate, mostrano come una cattiva impostazione di configurazione in una piattaforma popolare può avere conseguenze di vasta portata.
Informazioni di tracciamento dei contatti esposte su Internet
I dati esposti sono stati tutti archiviati nel servizio del portale Power Apps di Microsoft, una piattaforma di sviluppo che semplifica la creazione di app Web o mobili per uso esterno.
Se hai bisogno di creare rapidamente un sito per la registrazione degli appuntamenti per i vaccini durante, ad esempio, una pandemia, i portali di Power Apps possono generare sia il sito pubblico che il back-end di gestione dei dati.
A maggio, i ricercatori della società di sicurezza Upguard iniziato a indagare un gran numero di portali di Power Apps che esponevano pubblicamente dati che avrebbero dovuto essere privati.
Tra questi c'erano alcune Power App realizzate da Microsoft per i propri scopi.
Tuttavia, nessuno dei dati è noto per essere stato compromesso, ma la scoperta è ancora importante, in quanto rivela una svista nella progettazione dei portali di Power Apps che da allora è stata corretta.
Oltre a gestire database interni e offrire una base per lo sviluppo di app, la piattaforma Power Apps fornisce anche interfacce di programmazione delle applicazioni già pronte per interagire con tali dati.
L'errata configurazione porta alla vulnerabilità
I ricercatori di Upguard si sono resi conto che quando si abilitavano queste API, la piattaforma rendeva pubblicamente accessibili i dati corrispondenti.
L'abilitazione delle impostazioni sulla privacy è stata un processo manuale e, di conseguenza, molti clienti hanno configurato in modo errato le proprie app lasciando l'impostazione predefinita non sicura.
Abbiamo trovato uno di questi che era configurato in modo errato per esporre i dati e abbiamo pensato, non ne abbiamo mai sentito parlare, è una cosa una tantum o è un problema sistemico? A causa del modo in cui funziona il prodotto dei portali Power Apps, è molto facile fare rapidamente un sondaggio. E abbiamo scoperto che ce ne sono tonnellate esposte. Era selvaggio.
La stessa Microsoft ha esposto una serie di database nei propri portali Power Apps, incluso un vecchio piattaforma denominata Global Payroll Services, due portali di supporto per strumenti aziendali e un Customer Insights portale.
L'errata configurazione dei database basati su cloud è stata un problema serio nel corso degli anni, esponendo enormi quantità di dati ad accessi inappropriati o furti.
Le grandi aziende cloud come Amazon Web Services, Google Cloud Platform e Microsoft Azure hanno tutte adottato misure per archiviare i dati dei clienti privatamente per impostazione predefinita dall'inizio e contrassegnare potenziali errori di configurazione, ma l'industria non ha dato priorità al problema fino a quando non è stata equamente recentemente.
I ricercatori di Upguard non sono riusciti a raggiungere tutte le entità, perché ce n'erano troppe, quindi hanno anche divulgato i risultati a Microsoft.
Gli utenti possono controllare le impostazioni del proprio portale con lo strumento di Microsoft
All'inizio di agosto, Microsoft ha annunciato che i portali di Power Apps ora memorizzano per impostazione predefinita i dati API e altre informazioni in privato.
Anche l'azienda di Redmond rilasciato uno strumento i clienti possono utilizzare per controllare le impostazioni del portale.
Ma, tra le correzioni di Microsoft e le notifiche di UpGuard, gli esperti ora affermano che la stragrande maggioranza dei portali esposti, e tutti quelli più sensibili, sono ora privati.
Con altre cose su cui abbiamo lavorato, è di dominio pubblico che i cloud bucket possono essere configurati in modo errato, quindi non spetta a noi aiutarli a proteggerli tutti. Ma nessuno li aveva mai ripuliti prima, quindi sentivamo di avere il dovere etico di proteggere almeno quelli più sensibili prima di poter parlare delle questioni sistemiche.
Qual è la tua opinione su tutta questa situazione? Condividi i tuoi pensieri con noi nella sezione commenti qui sotto.
