- Mer enn 38 millioner poster ble lekket online på grunn av folk som bruker standardkonfigurasjoner i Microsoft Power Apps -portaler.
- Disse sensitive dataene som ble avslørt, ble alt lagret i Microsofts Power Apps -portaltjeneste, ifølge forskere.
- Etter at visse APIer ble aktivert, var plattformen standard for å gjøre tilsvarende data offentlig tilgjengelig.
- Feilkonfigurasjonen av skybaserte databaser har vært et alvorlig problem gjennom årene, og utsatt enorme mengder data for upassende tilgang eller tyveri.
Som du vet, er Power Apps Microsofts plattform med lav kode for organisasjoner for raskt å utvikle fullverdige applikasjoner, mest for internt bruk, komplett med en frontend og en backend.
Det er virkelig et kraftig verktøy som lar deg bygge apper, selv om du ikke er dyktig i programmering.
Selv om Microsoft regelmessig oppdaterer Power Apps med nye funksjoner og muligheter, kan en ny rapport være bekymret for organisasjoner.
Det ser ut til at over 38 millioner poster har lekket online på grunn av folk som bruker standardkonfigurasjoner i Microsoft Power Apps -portaler.
Hendelsen berørte store selskaper som American Airlines, Ford, transport- og logistikkfirmaet J.B. Hunt, Maryland Department of Health, New York City Municipal Transportation Authority og New York City public skoler.
Og mens dataeksponeringene er adressert, viser de hvordan en dårlig konfigurasjonsinnstilling i en populær plattform kan ha vidtrekkende konsekvenser.
Informasjon om kontaktsporing avslørt over internett
Dataene som ble avslørt ble alle lagret i Microsofts Power Apps -portaltjeneste, som er en utviklingsplattform som gjør det enkelt å lage web- eller mobilapper for ekstern bruk.
Hvis du trenger å spinne opp et registreringssted for vaksineavtaler raskt under, for eksempel, en pandemi, kan Power Apps-portaler generere både det offentlige stedet og datahåndteringen.
Tilbake i mai, forskere fra sikkerhetsfirmaet Upguard begynte å undersøke et stort antall Power Apps -portaler som offentliggjorde data som burde vært private.
Blant disse var noen Power Apps som Microsoft laget for sine egne formål.
Imidlertid er ingen av dataene kjent for å ha blitt kompromittert, men funnet er fortsatt viktig, ettersom det avslører et tilsyn med utformingen av Power Apps -portaler som siden er blitt løst.
I tillegg til å administrere interne databaser og tilby et grunnlag for å utvikle apper, tilbyr Power Apps-plattformen også ferdige programmeringsgrensesnitt for applikasjoner for å samhandle med disse dataene.
Feilkonfigurasjon fører til sårbarhet
Forskerne fra Upguard innså at når plattformene ble aktivert, var plattformen standard for å gjøre tilsvarende data offentlig tilgjengelig.
Å aktivere personverninnstillinger var en manuell prosess, og som et resultat konfigurerte mange kunder feilappene sine ved å forlate den usikre standarden.
Vi fant en av disse som var feilkonfigurert for å avsløre data, og vi tenkte at vi aldri har hørt om dette, er dette en engangs ting eller er dette et systemisk problem? På grunn av måten Power Apps portals -produktet fungerer på, er det veldig enkelt å raskt gjøre en undersøkelse. Og vi oppdaget at det er tonnevis av disse utsatt. Det var vilt.
Microsoft avslørte selv en rekke databaser i sine egne Power Apps -portaler, inkludert en gammel plattform kalt Global Payroll Services, to Business Tools Support -portaler og en Customer Insights portal.
Feilkonfigurasjonen av skybaserte databaser har vært et alvorlig problem gjennom årene, og utsatt enorme mengder data for upassende tilgang eller tyveri.
Store skybedrifter som Amazon Web Services, Google Cloud Platform og Microsoft Azure har alle tatt skritt for å lagre kundedata privat som standard fra starten og flagg potensielle feilkonfigurasjoner, men bransjen prioriterte ikke problemet før det var rimelig nylig.
Upguard -forskerne kunne ikke komme til alle enheter, fordi det var for mange, så de avslørte også funnene for Microsoft.
Brukere kan sjekke portalinnstillingene med Microsofts verktøy
I begynnelsen av august, Microsoft kunngjorde at Power Apps -portaler nå vil lagre API -data og annen informasjon privat som standard.
Redmond -selskapet også ga ut et verktøy kunder kan bruke til å sjekke portalinnstillingene.
Men mellom Microsofts reparasjoner og UpGuards egne varsler sier eksperter nå at de aller fleste av de eksponerte portalene, og alle de mest sensitive, nå er private.
Med andre ting vi har jobbet med, er det offentlig kunnskap om at skybøtter kan feilkonfigureres, så det er ikke pålagt oss å hjelpe dem alle. Men ingen hadde noen gang ryddet opp i disse før, så vi følte at vi hadde en etisk plikt til å sikre minst de mest følsomme før vi kunne snakke om de systemiske problemene.
Hva synes du om hele denne situasjonen? Del tankene dine med oss i kommentarfeltet nedenfor.
