- Vairāk nekā 38 miljoni ierakstu tika nopludināti tiešsaistē, jo cilvēki izmanto noklusējuma konfigurācijas Microsoft Power Apps portālos.
- Pēc pētnieku domām, šie jutīgie dati, kas tika atklāti, tika glabāti Microsoft Power Apps portāla pakalpojumā.
- Iespējojot noteiktas API, platforma pēc noklusējuma padarīja attiecīgos datus publiski pieejamus.
- Mākonī bāzētu datu bāzu nepareiza konfigurācija gadu gaitā ir bijusi nopietna problēma, jo milzīgs datu daudzums tiek pakļauts neatbilstošai piekļuvei vai zādzībai.
Kā jūs zināt, Power Apps ir Microsoft zema koda platforma, kas ļauj organizācijām ātri izstrādāt pilnvērtīgas lietojumprogrammas, galvenokārt iekšējai lietošanai, komplektā ar priekšpusi un aizmuguri.
Tas patiešām ir spēcīgs rīks, kas ļauj veidot lietotnes, pat ja neesat labi iemācījies programmēt.
Lai gan Microsoft regulāri atjaunina Power Apps ar jaunām funkcijām un iespējām, jauns pārskats var radīt bažas organizācijām.
Šķiet, ka vairāk nekā 38 miljoni ierakstu ir noplūduši tiešsaistē, jo cilvēki izmanto noklusējuma konfigurācijas Microsoft Power Apps portālos.
Incidents skāra lielākos uzņēmumus, piemēram, American Airlines, Ford, transporta un loģistikas uzņēmumu J.B. Huntam, Merilendas Veselības departamentam, Ņujorkas pilsētas transporta pārvaldei un Ņujorkas sabiedrībai skolas.
Un, lai gan datu iedarbība ir novērsta, tie parāda, kā vienam sliktam konfigurācijas iestatījumam populārā platformā var būt tālejošas sekas.
Informācija par kontaktu izsekošanu internetā
Visi atklātie dati tika glabāti Microsoft Power Apps portāla pakalpojumā, kas ir izstrādes platforma, kas ļauj ērti izveidot tīmekļa vai mobilās lietotnes ārējai lietošanai.
Ja jums, piemēram, pandēmijas laikā ir nepieciešams ātri izveidot vakcinācijas reģistrēšanās vietni, Power Apps portāli var ģenerēt gan publiski pieejamu vietni, gan datu pārvaldības aizmuguri.
Vēl maijā pētnieki no drošības firmas Upguard sāka izmeklēt liels skaits Power Apps portālu, kas publiski atklāja datus, kuriem vajadzēja būt privātiem.
Starp tiem bija dažas Power Apps, kuras Microsoft izveidoja saviem mērķiem.
Tomēr zināms, ka neviens no datiem nav apdraudēts, taču konstatējums joprojām ir svarīgs, jo tas atklāj Power Apps portālu dizaina pārraudzību, kas kopš tā laika ir novērsta.
Papildus iekšējo datu bāzu pārvaldībai un lietotņu izstrādes pamatiem, Power Apps platforma nodrošina arī gatavas lietojumprogrammu saskarnes, lai mijiedarbotos ar šiem datiem.
Nepareiza konfigurācija izraisa neaizsargātību
Pētnieki no Upguard saprata, ka, iespējojot šīs API, platforma pēc noklusējuma padarīja attiecīgos datus publiski pieejamus.
Privātuma iestatījumu iespējošana bija manuāls process, un tāpēc daudzi klienti nepareizi konfigurēja savas lietotnes, atstājot nedrošu noklusējumu.
Mēs atradām vienu no tiem, kas bija nepareizi konfigurēts, lai atklātu datus, un domājām, ka mēs par to nekad neesam dzirdējuši, vai tā ir vienreizēja lieta, vai tā ir sistēmiska problēma? Tā kā darbojas Power Apps portālu produkts, ir ļoti viegli ātri veikt aptauju. Un mēs atklājām, ka ir atklāti daudzi no tiem. Tas bija mežonīgi.
Microsoft pats atklāja vairākas datu bāzes savos Power Apps portālos, tostarp veco platforma ar nosaukumu Global Payroll Services, divi biznesa rīku atbalsta portāli un Customer Insights portāls.
Mākonī bāzētu datu bāzu nepareiza konfigurācija gadu gaitā ir bijusi nopietna problēma, jo milzīgs datu daudzums tiek pakļauts neatbilstošai piekļuvei vai zādzībai.
Lielie mākoņu uzņēmumi, piemēram, Amazon Web Services, Google Cloud Platform un Microsoft Azure, ir veikuši pasākumus, lai saglabātu klientu datus privāti pēc noklusējuma un atzīmējiet iespējamās nepareizās konfigurācijas, taču nozare šai problēmai piešķīra prioritāti tikai godīgi nesen.
Upguard pētnieki nevarēja nokļūt katrā vienībā, jo to bija pārāk daudz, tāpēc viņi arī atklāja konstatējumus Microsoft.
Lietotāji var pārbaudīt savus portāla iestatījumus, izmantojot Microsoft rīku
Augusta sākumā, Microsoft paziņoja ka Power Apps portāli tagad pēc noklusējuma glabās API datus un citu informāciju privāti.
Redmondas uzņēmums arī izlaida rīku klienti var izmantot, lai pārbaudītu savus portāla iestatījumus.
Bet starp Microsoft labojumiem un UpGuard paziņojumiem eksperti tagad saka, ka lielākā daļa atklāto portālu un visi visjutīgākie portāli tagad ir privāti.
Ar citām lietām, pie kurām esam strādājuši, ir zināms, ka mākoņu spaiņi var būt nepareizi konfigurēti, tāpēc mums nav jāpalīdz tos visus nodrošināt. Bet neviens to nekad iepriekš nebija iztīrījis, tāpēc mēs uzskatījām, ka mums ir ētisks pienākums nodrošināt vismaz visjutīgākos, pirms varam runāt par sistēmiskajiem jautājumiem.
Kāds ir jūsu viedoklis par visu šo situāciju? Kopīgojiet savas domas ar mums komentāru sadaļā zemāk.
