- Daugiau nei 38 milijonai įrašų buvo nutekinti internete dėl žmonių, naudojančių numatytąsias konfigūracijas „Microsoft Power Apps“ portaluose.
- Pasak tyrėjų, šie jautrūs duomenys, kurie buvo atskleisti, buvo saugomi „Microsoft“ „Power Apps“ portalo tarnyboje.
- Įgalinus tam tikras API, platforma numatyta, kad atitinkami duomenys bus viešai prieinami.
- Netinkama debesų duomenų bazių konfigūracija daugelį metų buvo rimta problema, dėl kurios didžiulis duomenų kiekis buvo netinkamai pasiekiamas arba vagystė.
Kaip žinote, „Power Apps“ yra „Microsoft“ mažo kodo platforma, skirta organizacijoms greitai kurti visavertes programas, daugiausia skirtas vidiniam naudojimui, su priekine ir vidine sistema.
Tai tikrai galingas įrankis, leidžiantis kurti programas, net jei nesate gerai įgudęs programuoti.
Nors „Microsoft“ reguliariai atnaujina „Power Apps“ naujomis funkcijomis ir galimybėmis, nauja ataskaita gali kelti susirūpinimą organizacijoms.
Atrodytų, kad daugiau nei 38 milijonai įrašų nutekėjo internete dėl žmonių, naudojančių numatytąsias konfigūracijas „Microsoft Power Apps“ portaluose.
Incidentas paveikė tokias dideles bendroves kaip „American Airlines“, „Ford“, transporto ir logistikos bendrovę „J.B. Huntas, Merilando sveikatos departamentas, Niujorko miesto transporto tarnyba ir Niujorko visuomenė mokyklos.
Ir nors buvo atsižvelgta į duomenų ekspoziciją, jie parodo, kaip viena bloga konfigūracijos nuostata populiarioje platformoje gali turėti didelių pasekmių.
Internete atskleista informacija apie kontaktus
Visi atskleisti duomenys buvo saugomi „Microsoft“ „Power Apps“ portalo tarnyboje, kuri yra kūrimo platforma, leidžianti lengvai kurti žiniatinklio ar mobiliojo ryšio programas išoriniam naudojimui.
Jei, pavyzdžiui, pandemijos metu jums reikia greitai sukurti registracijos skiepams paskyrą svetainę, „Power Apps“ portalai gali sukurti ir visuomenei skirtą svetainę, ir duomenų valdymo užpakalinę dalį.
Dar gegužę saugumo firmos „Upguard“ tyrėjai pradėjo tirti daugybė „Power Apps“ portalų, kuriuose viešai buvo atskleisti duomenys, kurie turėjo būti privatūs.
Tarp jų buvo keletas „Power Apps“, kurias „Microsoft“ sukūrė savo tikslams.
Tačiau žinoma, kad nė vienas iš duomenų nebuvo pažeistas, tačiau ši išvada vis dar yra svarbi, nes atskleidžiama „Power Apps“ portalų dizaino priežiūra, kuri nuo to laiko buvo ištaisyta.
„Power Apps“ platforma ne tik tvarko vidines duomenų bazes ir siūlo pagrindą programoms kurti, bet ir paruoštas programų programavimo sąsajas, kad galėtų sąveikauti su šiais duomenimis.
Neteisingas konfigūravimas sukelia pažeidžiamumą
„Upguard“ tyrėjai suprato, kad įgalindama šias API, platforma numatyta, kad atitinkami duomenys būtų viešai prieinami.
Privatumo nustatymų įgalinimas buvo rankinis procesas, todėl daugelis klientų netinkamai sukonfigūravo savo programas palikdami nesaugų numatytąjį.
Radome vieną iš jų, kuris buvo netinkamai sukonfigūruotas, kad būtų atskleisti duomenys, ir manėme, kad niekada apie tai negirdėjome, ar tai yra vienkartinis dalykas, ar tai sisteminė problema? Dėl to, kaip veikia „Power Apps“ portalų produktas, labai lengva greitai atlikti apklausą. Ir mes sužinojome, kad jų yra daugybė. Buvo laukinis.
Pati „Microsoft“ savo „Power Apps“ portaluose atskleidė daugybę duomenų bazių, įskaitant seną platforma, vadinama „Global Payroll Services“, du verslo įrankių palaikymo portalai ir „Customer Insights“ portalas.
Netinkama debesų duomenų bazių konfigūracija daugelį metų buvo rimta problema, dėl kurios didžiulis duomenų kiekis buvo netinkamai pasiekiamas arba vagystė.
Didelės debesų kompanijos, tokios kaip „Amazon Web Services“, „Google Cloud Platform“ ir „Microsoft Azure“, ėmėsi veiksmų, kad išsaugotų klientų duomenis privačiai pagal numatytuosius nustatymus nuo pat pradžių ir pažymėkite galimas netinkamas konfigūracijas, tačiau pramonė nesureikšmino šios problemos, kol nebuvo sąžiningai neseniai.
„Upguard“ tyrėjai negalėjo patekti į kiekvieną objektą, nes jų buvo per daug, todėl jie taip pat atskleidė išvadas „Microsoft“.
Vartotojai gali patikrinti savo portalo nustatymus naudodami „Microsoft“ įrankį
Rugpjūčio pradžioje, „Microsoft“ paskelbė kad „Power Apps“ portalai dabar numatyta, kad API duomenys ir kita informacija bus saugomi privačiai.
Redmondo kompanija taip pat išleido įrankį klientai gali patikrinti savo portalo nustatymus.
Tačiau tarp „Microsoft“ pataisymų ir „UpGuard“ pranešimų ekspertai dabar sako, kad didžioji dalis atvirų ir visų jautriausių portalų dabar yra privatūs.
Kalbant apie kitus dalykus, su kuriais dirbome, viešai žinoma, kad debesų kibirai gali būti netinkamai sukonfigūruoti, todėl mes neprivalome padėti juos visus apsaugoti. Tačiau niekas anksčiau jų neišvalė, todėl manėme, kad turime etinę pareigą apsaugoti bent jau pačius jautriausius, prieš pradėdami kalbėti apie sistemines problemas.
Ką manote apie visą šią situaciją? Pasidalykite savo mintimis su mumis žemiau esančiame komentarų skyriuje.
