- Ponad 38 milionów rekordów wyciekło online z powodu osób korzystających z domyślnych konfiguracji w portalach Microsoft Power Apps.
- Według badaczy te wrażliwe dane, które zostały ujawnione, były przechowywane w usłudze portalu Power Apps firmy Microsoft.
- Po włączeniu niektórych interfejsów API platforma domyślnie udostępniała publicznie odpowiednie dane.
- Błędna konfiguracja baz danych w chmurze była przez lata poważnym problemem, narażającym ogromne ilości danych na nieodpowiedni dostęp lub kradzież.
Jak wiadomo, Power Apps to platforma firmy Microsoft o niskim kodzie, która umożliwia organizacjom szybkie tworzenie pełnoprawnych aplikacji, głównie do użytku wewnętrznego, wraz z frontendem i backendem.
To naprawdę potężne narzędzie, które pozwala budować aplikacje, nawet jeśli nie masz umiejętności programowania.
Mimo że firma Microsoft regularnie aktualizuje Power Apps o nowe funkcje i możliwości, nowy raport może być powodem do niepokoju dla organizacji.
Wygląda na to, że ponad 38 milionów rekordów wyciekło online z powodu osób korzystających z domyślnych konfiguracji w portalach Microsoft Power Apps.
Incydent dotknął duże firmy, takie jak American Airlines, Ford, firma transportowa i logistyczna J.B. Hunt, Departament Zdrowia Maryland, Urząd Transportu Miejskiego w Nowym Jorku i publiczność Nowego Jorku szkoły.
I chociaż zajęto się ujawnieniem danych, pokazują one, jak jedno złe ustawienie konfiguracji na popularnej platformie może mieć daleko idące konsekwencje.
Informacje umożliwiające śledzenie kontaktów ujawnione w Internecie
Wszystkie ujawnione dane były przechowywane w usłudze portalu Power Apps firmy Microsoft, która jest platformą programistyczną ułatwiającą tworzenie aplikacji internetowych lub mobilnych do użytku zewnętrznego.
Jeśli musisz szybko uruchomić witrynę rejestracji na termin szczepień podczas, powiedzmy, pandemii, portale Power Apps mogą generować zarówno witrynę publiczną, jak i zaplecze zarządzania danymi.
W maju badacze z firmy ochroniarskiej Upguard rozpoczął dochodzenie duża liczba portali Power Apps, które publicznie ujawniają dane, które powinny być prywatne.
Wśród nich były niektóre Power Apps, które Microsoft stworzył do własnych celów.
Jednak żadne dane nie zostały naruszone, ale odkrycie jest nadal ważne, ponieważ ujawnia niedopatrzenie w projektowaniu portali Power Apps, które zostało naprawione.
Oprócz zarządzania wewnętrznymi bazami danych i oferowania podstaw do tworzenia aplikacji, platforma Power Apps zapewnia również gotowe interfejsy programowania aplikacji umożliwiające interakcję z tymi danymi.
Błędna konfiguracja prowadzi do podatności
Naukowcy z Upguard zdali sobie sprawę, że po włączeniu tych interfejsów API platforma domyślnie udostępniała odpowiednie dane publicznie.
Włączenie ustawień prywatności było procesem ręcznym, w wyniku czego wielu klientów błędnie skonfigurowało swoje aplikacje, pozostawiając niezabezpieczone domyślne ustawienie.
Znaleźliśmy jeden z nich, który był źle skonfigurowany w celu ujawnienia danych i pomyśleliśmy, że nigdy o tym nie słyszeliśmy, czy jest to jednorazowa sprawa, czy jest to problem systemowy? Ze względu na sposób działania produktu portali Power Apps bardzo łatwo jest szybko przeprowadzić ankietę. Odkryliśmy, że jest ich mnóstwo. To było dzikie.
Sam Microsoft ujawnił szereg baz danych we własnych portalach Power Apps, w tym stary platforma o nazwie Global Payroll Services, dwa portale Business Tools Support oraz Customer Insights portal.
Błędna konfiguracja baz danych w chmurze była przez lata poważnym problemem, narażającym ogromne ilości danych na nieodpowiedni dostęp lub kradzież.
Duże firmy działające w chmurze, takie jak Amazon Web Services, Google Cloud Platform i Microsoft Azure, podjęły kroki w celu przechowywania danych klientów prywatnie domyślnie od samego początku i zgłaszanie potencjalnych błędnych konfiguracji, ale branża nie nadała priorytetu problemowi, dopóki nie ostatnio.
Badacze Upguard nie mogli dotrzeć do każdego podmiotu, ponieważ było ich zbyt wielu, więc ujawnili również wyniki Microsoftowi.
Użytkownicy mogą sprawdzić ustawienia portalu za pomocą narzędzia Microsoft
Na początku sierpnia Microsoft ogłosił portale Power Apps będą teraz domyślnie przechowywać dane interfejsu API i inne informacje prywatnie.
Firma z Redmond również wydał narzędzie klienci mogą używać do sprawdzania ustawień portalu.
Ale między poprawkami Microsoftu a własnymi powiadomieniami UpGuard eksperci twierdzą teraz, że zdecydowana większość ujawnionych portali i wszystkie te najbardziej wrażliwe są teraz prywatne.
W przypadku innych rzeczy, nad którymi pracowaliśmy, powszechnie wiadomo, że zasobniki w chmurze mogą być źle skonfigurowane, więc nie jesteśmy zobowiązani do zabezpieczania ich wszystkich. Ale nikt nigdy wcześniej ich nie sprzątał, więc poczuliśmy, że mamy etyczny obowiązek zabezpieczyć przynajmniej te najbardziej wrażliwe, zanim będziemy mogli porozmawiać o kwestiach systemowych.
Jakie jest twoje zdanie na temat tej całej sytuacji? Podziel się z nami swoimi przemyśleniami w sekcji komentarzy poniżej.
