- 38 მილიონზე მეტი ჩანაწერი გაჟონა ინტერნეტში იმის გამო, რომ ადამიანები იყენებენ ნაგულისხმევ კონფიგურაციებს Microsoft Power Apps პორტალებში.
- მკვლევართა აზრით, ეს მგრძნობიარე მონაცემები, რომლებიც გამოაშკარავებული იქნა შენახული Microsoft– ის Power Apps პორტალის სერვისში.
- გარკვეული API- ების გააქტიურებისთანავე, პლატფორმამ ნაგულისხმევი გახადა შესაბამისი მონაცემების საჯაროდ ხელმისაწვდომობა.
- ღრუბელზე დაფუძნებული მონაცემთა ბაზების არასწორი კონფიგურაცია წლების განმავლობაში სერიოზული პრობლემა იყო, რაც უზარმაზარი მონაცემების გამოვლენას შეუსაბამო წვდომის ან ქურდობის წინაშე აყენებდა.
როგორც მოგეხსენებათ, Power Apps არის Microsoft– ის დაბალი კოდის პლატფორმა ორგანიზაციებისთვის, რათა სწრაფად განავითარონ სრულფასოვანი პროგრამები, ძირითადად შიდა გამოყენებისთვის, შევსებული ფრონტონდით და უკანა ხაზით.
ეს მართლაც მძლავრი ინსტრუმენტია, რომელიც საშუალებას გაძლევთ შექმნათ პროგრამები, თუნდაც პროგრამირების კარგად არ იყო.
მიუხედავად იმისა, რომ Microsoft რეგულარულად განაახლებს Power Apps– ს ახალი ფუნქციებითა და შესაძლებლობებით, ახალი ანგარიში შეიძლება შეშფოთების მიზეზი გახდეს ორგანიზაციებისთვის.
როგორც ჩანს, 38 მილიონზე მეტი ჩანაწერი გაჟონა ინტერნეტში იმის გამო, რომ ადამიანები იყენებენ ნაგულისხმევ კონფიგურაციებს Microsoft Power Apps პორტალებში.
ინციდენტი დაზარალდა ისეთ მსხვილ კომპანიებზე, როგორიცაა American Airlines, Ford, სატრანსპორტო და ლოგისტიკური კომპანია J.B. ჰანტი, მერილენდის ჯანდაცვის დეპარტამენტი, ნიუ იორკის მუნიციპალური ტრანსპორტის სამსახური და ნიუ იორკის საზოგადოება სკოლები.
და მიუხედავად იმისა, რომ მონაცემების ექსპოზიცია განიხილება, ისინი აჩვენებენ, თუ როგორ შეიძლება ერთ ცუდ კონფიგურაციულ პარამეტრს პოპულარულ პლატფორმაზე შორს მიმავალი შედეგები მოჰყვეს.
საკონტაქტო ინფორმაციის მოძიება ინტერნეტით
გამოქვეყნებული მონაცემები შენახული იყო Microsoft– ის Power Apps პორტალის სერვისში, რომელიც არის განვითარების პლატფორმა, რომელიც აადვილებს ვებსაიტის ან მობილური აპლიკაციების შექმნას გარე გამოყენებისთვის.
თუ თქვენ გჭირდებათ ვაქცინის დანიშვნის რეგისტრაციის ადგილის სწრაფად დახვეწა, ვთქვათ, პანდემიის დროს, Power Apps პორტალებს შეუძლიათ შექმნან როგორც საზოგადოების წინაშე მყოფი საიტი, ასევე მონაცემთა მენეჯმენტის უკანა მხარე.
ჯერ კიდევ მაისში უსაფრთხოების ფირმის Upguard მკვლევარებმა დაიწყო გამოძიება დიდი რაოდენობით Power Apps პორტალები, რომლებიც საჯაროდ ამხელენ მონაცემებს, რომლებიც პირადი უნდა ყოფილიყო.
მათ შორის იყო Power Power პროგრამები, რომლებიც Microsoft– მა შექმნა საკუთარი მიზნებისათვის.
თუმცა, არცერთი მონაცემი არ არის ცნობილი, რომ კომპრომეტირებული იყო, მაგრამ აღმოჩენა მაინც მნიშვნელოვანია, რადგან ის ავლენს ძალაუფლების პროგრამების პორტალების დიზაინის ზედამხედველობას, რომელიც მას შემდეგ დაფიქსირდა.
შიდა მონაცემთა ბაზების მართვისა და პროგრამების შემუშავების საფუძვლის შეთავაზების გარდა, Power Apps პლატფორმა ასევე იძლევა მზა პროგრამული პროგრამირების ინტერფეისებს ამ მონაცემებთან ურთიერთობისათვის.
არასწორი კონფიგურაცია იწვევს დაუცველობას
Upguard– ის მკვლევარებმა გააცნობიერეს, რომ ამ API– ების ჩართვისას, პლატფორმამ ვერ მოახერხა შესაბამისი მონაცემების საჯაროდ ხელმისაწვდომობა.
კონფიდენციალურობის პარამეტრების ჩართვა იყო ხელით პროცესი და, შედეგად, ბევრმა მომხმარებელმა არასწორად დააკონფიგურირა თავისი პროგრამები დაუცველი ნაგულისხმევის დატოვებით.
ჩვენ აღმოვაჩინეთ ერთ-ერთი მათგანი, რომელიც არასწორად იყო კონფიგურირებული მონაცემების გამოსაქვეყნებლად და ვფიქრობდით, რომ ჩვენ არასოდეს გვსმენია ამის შესახებ, ეს არის ერთჯერადი რამ თუ ეს სისტემური საკითხია? იმის გამო, თუ როგორ მუშაობს Power Apps პორტალების პროდუქტი, ძალიან ადვილია გამოკითხვა სწრაფად. ჩვენ აღმოვაჩინეთ, რომ მათგან ტონაა გამოვლენილი. ველური იყო.
თავად Microsoft– მა გამოავლინა არაერთი მონაცემთა ბაზა საკუთარ Power Apps პორტალებში, მათ შორის ძველი პლატფორმა სახელწოდებით გლობალური სახელფასო მომსახურება, ორი ბიზნეს ინსტრუმენტის მხარდაჭერის პორტალი და მომხმარებელთა ცოდნა პორტალი.
ღრუბელზე დაფუძნებული მონაცემთა ბაზების არასწორი კონფიგურაცია წლების განმავლობაში სერიოზული პრობლემა იყო, რაც უზარმაზარი მონაცემების გამოვლენას შეუსაბამო წვდომის ან ქურდობის წინაშე აყენებდა.
ღრუბლოვანმა კომპანიებმა, როგორიცაა Amazon Web Services, Google Cloud Platform და Microsoft Azure, ყველა გადადგეს ნაბიჯი მომხმარებლების მონაცემების შესანახად პირადად ნაგულისხმევად თავიდანვე და მონიშნეთ პოტენციური არასწორი კონფიგურაცია, მაგრამ ინდუსტრიამ არ მიანიჭა პრიორიტეტი საკითხს სამართლიანად ცოტა ხნის წინ
Upguard მკვლევარებმა ვერ მიაღწიეს ყველა ერთეულს, რადგან ძალიან ბევრი იყო, ამიტომ მათ ასევე მიაწოდეს დასკვნები Microsoft- ს.
მომხმარებლებს შეუძლიათ შეამოწმონ თავიანთი პორტალის პარამეტრები Microsoft– ის ხელსაწყოთი
აგვისტოს დასაწყისში, Microsoft- მა გამოაცხადა რომ Power Apps პორტალები ახლა ნაგულისხმევად შეინახავს API მონაცემებს და სხვა ინფორმაციას პირადად.
ასევე რედმონდის კომპანია გამოუშვა ინსტრუმენტი მომხმარებელს შეუძლია გამოიყენოს მათი პორტალის პარამეტრები.
მაგრამ, Microsoft– ის შესწორებებსა და UpGuard– ის შეტყობინებებს შორის, ექსპერტები ახლა ამბობენ, რომ გაშლილი პორტალების დიდი უმრავლესობა და ყველა ყველაზე მგრძნობიარე პორტალი ახლა კერძოა.
სხვა საკითხებზე, რომლებზეც ჩვენ ვიმუშავეთ, საზოგადოებისთვის ცნობილია, რომ ღრუბლების თაიგულების არასწორი კონფიგურაცია შესაძლებელია, ამიტომ ჩვენ არ გვევალება ყველა მათგანის უზრუნველყოფაში დახმარება. მაგრამ აქამდე არავის გაუწმენდია ეს, ასე რომ, ჩვენ ვიგრძენით, რომ ჩვენ გვქონდა ეთიკური მოვალეობა, უზრუნველყოთ მინიმუმ ყველაზე მგრძნობიარე პირები, სანამ სისტემურ საკითხებზე ვისაუბრებდით.
რას ფიქრობთ მთელი ამ სიტუაციის შესახებ? გაგვიზიარეთ თქვენი აზრები ქვემოთ მოცემულ კომენტარებში.
