- יותר מ -38 מיליון רשומות דלפו ברשת בגלל אנשים שמשתמשים בתצורות ברירת מחדל בפורטל Microsoft Power Apps.
- על פי החוקרים, הנתונים הרגישים שנחשפו נשמרו כולם בשירות הפורטל Power Apps של מיקרוסופט.
- עם הפעלת ממשקי API מסוימים, הפלטפורמה כברירת מחדל להפוך את הנתונים המתאימים לנגישים לציבור.
- התצורה השגויה של מאגרי מידע מבוססי ענן הייתה בעיה רצינית לאורך השנים, וחושפת כמויות עצומות של נתונים לגישה או גניבה בלתי הולמים.
כידוע לך, Power Apps היא פלטפורמת קוד נמוך של מיקרוסופט לארגונים לפיתוח מהיר של יישומים מלאים, בעיקר לשימוש פנימי, עם חזית ותמיכה אחורית.
זה באמת כלי רב עוצמה המאפשר לך לבנות אפליקציות, גם אם אינך מיומן בתכנות.
למרות שמיקרוסופט מעדכנת Power Apps באופן קבוע עם תכונות ויכולות חדשות, דוח חדש עשוי לגרום לדאגה לארגונים.
נראה כי מעל 38 מיליון רשומות דלפו ברשת בגלל אנשים שמשתמשים בתצורות ברירת מחדל בפורטל Microsoft Power Apps.
התקרית השפיעה על חברות גדולות כמו אמריקן איירליינס, פורד, חברת התחבורה והלוגיסטיקה J.B. האנט, משרד הבריאות של מרילנד, רשות התחבורה העירונית בניו יורק וציבור ניו יורק בתי ספר.
ובעוד שטופלו על חשיפות הנתונים, הם מראים כיצד הגדרת תצורה גרועה אחת בפלטפורמה פופולרית יכולה להיות בעלת השלכות מרחיקות לכת.
מידע לאיתור אנשי קשר שנחשף באינטרנט
הנתונים שנחשפו נשמרו כולם בשירות פורטל Power Apps של מיקרוסופט, המהווה פלטפורמת פיתוח שמאפשרת ליצור בקלות יישומי אינטרנט או מובייל לשימוש חיצוני.
אם אתה צריך לסייע במהירות לאתר הרשמה לפגישת חיסונים במהלך, למשל, מגיפה, פורטלים של Power Apps יכולים לייצר הן את האתר הפונה לציבור והן את ה- backend לניהול הנתונים.
בחודש מאי, חוקרים מחברת האבטחה Upguard התחיל לחקור מספר רב של פורטלי Power Apps שחשפו בפומבי נתונים שהיו צריכים להיות פרטיים.
בין אלה היו כמה אפליקציות Power שמיקרוסופט ייצרה למטרות משלה.
עם זאת, לא ידוע שאף אחד מהנתונים נפגע, אך הממצא עדיין חשוב, שכן הוא חושף פיקוח בעיצוב פורטלי Power Apps שמאז תוקן.
מלבד ניהול מאגרי מידע פנימיים והצעת בסיס לפיתוח אפליקציות, פלטפורמת Power Apps מספקת גם ממשקי תכנות יישומים מוכנים לאינטראקציה עם נתונים אלה.
תצורה לא נכונה מובילה לפגיעות
החוקרים מ- Upguard הבינו שכאשר הפעלת ממשקי ה- API הללו, הפלטפורמה כברירת מחדל להפוך את הנתונים המתאימים לנגישים לציבור.
הפעלת הגדרות פרטיות הייתה תהליך ידני, וכתוצאה מכך, לקוחות רבים הגדירו את התצורה של האפליקציות שלהם על ידי השארת ברירת המחדל הלא מאובטחת.
מצאנו אחד מאלה שהוגדר לא נכון לחשיפת נתונים וחשבנו שמעולם לא שמענו על זה, האם זה דבר חד פעמי או שמדובר בנושא מערכתי? בגלל האופן שבו מוצר פורטל Power Apps עובד, קל מאוד לבצע סקר במהירות. וגילינו שיש המון כאלה שנחשפו. זה היה פראי.
מיקרוסופט עצמה חשפה מספר מאגרי מידע בפורטל Power Apps משלה, כולל ישן פלטפורמה בשם Global Payroll Services, שני פורטלים לתמיכה בכלים עסקיים ותובנות Customer שַׁעַר.
התצורה השגויה של מאגרי מידע מבוססי ענן הייתה בעיה רצינית לאורך השנים, וחושפת כמויות עצומות של נתונים לגישה או גניבה בלתי הולמים.
חברות ענן גדולות כמו אמזון שירותי אינטרנט, פלטפורמת הענן של Google ו- Microsoft Azure נקטו כולן צעדים לאחסון נתוני הלקוחות באופן פרטי כברירת מחדל מההתחלה וסמן תצורות שגויות אפשריות, אך התעשייה לא העדיפה את הנושא עד כהוגן לאחרונה.
חוקרי Upguard לא הצליחו להגיע לכל ישות, כי היו יותר מדי, ולכן הם גם חשפו את הממצאים בפני מיקרוסופט.
משתמשים יכולים לבדוק את הגדרות הפורטל שלהם בעזרת הכלי של מיקרוסופט
בתחילת אוגוסט, הודיעה מיקרוסופט כי פורטלי Power Apps יהיו ברירת מחדל לאחסון נתוני API ומידע אחר באופן פרטי.
גם חברת רדמונד הוציא כלי לקוחות יכולים להשתמש בהם כדי לבדוק את הגדרות הפורטל שלהם.
אבל, בין התיקונים של מיקרוסופט לבין ההודעות של UpGuard עצמה, מומחים אומרים כעת שרובם המכריע של הפורטלים החשופים, וכל הרגישים ביותר, הם כעת פרטיים.
עם דברים אחרים שעבדנו עליהם, זה הידע הציבורי שאפשר להגדיר את דלי הענן בצורה לא נכונה, ולכן לא מוטל עלינו לסייע באבטחת כולם. אבל אף אחד מעולם לא ניקה אותם לפני כן, ולכן הרגשנו שיש לנו חובה אתית לאבטח לפחות את הרגישים ביותר לפני שנוכל לדבר על הנושאים המערכיים.
מה דעתך על כל המצב הזה? שתף אותנו במחשבותיך בסעיף ההערות למטה.
