- Microsoft Power Appsポータルでデフォルト構成を使用している人々のために、3800万を超えるレコードがオンラインでリークされました。
- 研究者によると、公開されたこの機密データはすべて、MicrosoftのPowerAppsポータルサービスに保存されていました。
- 特定のAPIを有効にすると、プラットフォームはデフォルトで対応するデータをパブリックにアクセス可能にします。
- クラウドベースのデータベースの設定ミスは、長年にわたって深刻な問題であり、大量のデータが不適切なアクセスや盗難にさらされています。
ご存知のように、Power Appsは、組織がフロントエンドとバックエンドを備えた、主に内部使用のための本格的なアプリケーションを迅速に開発するためのMicrosoftのローコードプラットフォームです。
これは本当に強力なツールであり、プログラミングに精通していなくてもアプリを作成できます。
Microsoftは定期的にPowerAppsを新しい機能で更新していますが、新しいレポートは組織にとって懸念の原因となる可能性があります。
Microsoft Power Appsポータルでデフォルト構成を使用している人々のために、3800万を超えるレコードがオンラインでリークされたように見えます。
この事件は、アメリカン航空、フォード、運輸・物流会社J.B.などの大手企業に影響を及ぼしました。 ハント、メリーランド州保健局、ニューヨーク市交通局、およびニューヨーク市の一般市民 学校。
また、データの公開に対処しましたが、人気のあるプラットフォームでの1つの不適切な構成設定がどのように広範囲にわたる結果をもたらす可能性があるかを示しています。
インターネット上で公開されているコンタクトトレーシング情報
公開されたデータはすべて、MicrosoftのPower Appsポータルサービスに保存されていました。これは、外部で使用するWebアプリやモバイルアプリを簡単に作成できる開発プラットフォームです。
たとえば、パンデミックの際にワクチン予約のサインアップサイトをすばやく起動する必要がある場合、PowerAppsポータルは公開サイトとデータ管理バックエンドの両方を生成できます。
5月に戻って、セキュリティ会社Upguardの研究者 調査を開始しました プライベートであるはずのデータを公開する多数のPowerAppsポータル。
これらの中には、Microsoftが独自の目的で作成したPowerAppsがいくつかありました。
ただし、データが危険にさらされていることはわかっていませんが、Power Appsポータルの設計の見落としが明らかになり、その後修正されたため、この発見は依然として重要なものです。
Power Appsプラットフォームは、内部データベースを管理し、アプリを開発するための基盤を提供するだけでなく、そのデータと対話するための既製のアプリケーションプログラミングインターフェイスも提供します。
設定ミスは脆弱性につながります
Upguardの研究者は、これらのAPIを有効にすると、プラットフォームがデフォルトで対応するデータを公開することに気づきました。
プライバシー設定を有効にすることは手動のプロセスであり、その結果、多くの顧客は安全でないデフォルトのままにしてアプリを誤って構成しました。
これらの1つがデータを公開するように誤って構成されていることがわかりました。これについて聞いたことがないのですが、これは1回限りの問題ですか、それともシステム上の問題ですか。 Power Appsポータル製品の動作方法により、調査をすばやく行うのは非常に簡単です。 そして、これらが大量に公開されていることを発見しました。 ワイルドでした。
Microsoft自体は、古いものを含め、独自のPowerAppsポータルで多数のデータベースを公開しました。 グローバルペイロールサービスと呼ばれるプラットフォーム、2つのビジネスツールサポートポータル、およびカスタマーインサイト ポータル。
クラウドベースのデータベースの設定ミスは、長年にわたって深刻な問題であり、大量のデータが不適切なアクセスや盗難にさらされています。
アマゾンウェブサービス、グーグルクラウドプラットフォーム、マイクロソフトアズールなどの大手クラウド企業はすべて、顧客のデータを保存するための措置を講じています デフォルトでは最初から非公開で、潜在的な設定ミスにフラグを立てますが、業界は公正になるまで問題に優先順位を付けませんでした 近々。
Upguardの研究者は、数が多すぎてすべてのエンティティにアクセスできなかったため、調査結果をMicrosoftに開示しました。
ユーザーはMicrosoftのツールを使用してポータル設定を確認できます
8月の初めに、 マイクロソフトは発表しました Power Appsポータルは、デフォルトでAPIデータやその他の情報を非公開で保存するようになります。
レドモンド社も ツールをリリースしました 顧客はポータル設定を確認するために使用できます。
しかし、Microsoftの修正とUpGuard自身の通知の間で、専門家は現在、公開されているポータルの大部分と最も機密性の高いポータルのすべてが非公開になっていると述べています。
私たちが取り組んできた他のことと同様に、クラウドバケットが誤って構成されている可能性があることは一般に知られているため、すべてのバケットを保護することは私たちの義務ではありません。 しかし、これまで誰もこれらをクリーンアップしたことがなかったので、体系的な問題について話す前に、少なくとも最も敏感なものを確保するという倫理的義務があると感じました。
この状況全体についてどう思いますか? 以下のコメントセクションで私たちとあなたの考えを共有してください。
