- Более 38 миллионов записей просочились в сеть из-за того, что люди использовали конфигурации по умолчанию на порталах Microsoft Power Apps.
- По словам исследователей, все эти конфиденциальные данные, которые стали известны, хранились в портальной службе Microsoft Power Apps.
- После включения определенных API-интерфейсов платформа по умолчанию сделала соответствующие данные общедоступными.
- Неправильная конфигурация облачных баз данных была серьезной проблемой на протяжении многих лет, подвергая огромные объемы данных несанкционированному доступу или краже.
Как вы знаете, Power Apps - это платформа Microsoft с низким уровнем кода, позволяющая организациям быстро разрабатывать полноценные приложения, в основном для внутреннего использования, в комплекте с внешним и внутренним интерфейсом.
Это действительно мощный инструмент, который позволяет создавать приложения, даже если у вас нет навыков программирования.
Несмотря на то, что Microsoft регулярно обновляет Power Apps новыми функциями и возможностями, новый отчет может вызывать беспокойство у организаций.
Похоже, что более 38 миллионов записей просочились в сеть из-за людей, использующих конфигурации по умолчанию на порталах Microsoft Power Apps.
Инцидент затронул крупные компании, такие как American Airlines, Ford, транспортно-логистическую компанию J.B. Хант, Министерство здравоохранения Мэриленда, Управление городского транспорта Нью-Йорка и общественность Нью-Йорка. школы.
И хотя уязвимости данных были рассмотрены, они показывают, как один неверный параметр конфигурации на популярной платформе может иметь далеко идущие последствия.
Информация для отслеживания контактов, опубликованная в Интернете
Все предоставленные данные хранились в портальной службе Microsoft Power Apps, которая представляет собой платформу разработки, которая упрощает создание веб-приложений или мобильных приложений для внешнего использования.
Если вам нужно быстро развернуть сайт регистрации для вакцинации, скажем, во время пандемии, порталы Power Apps могут создать как общедоступный сайт, так и серверную часть управления данными.
Еще в мае исследователи из охранной компании Upguard начал расследование большое количество порталов Power Apps, на которых публикуются данные, которые должны быть конфиденциальными.
Среди них были некоторые приложения Power Apps, созданные Microsoft для собственных целей.
Однако известно, что никакие данные не были скомпрометированы, но вывод по-прежнему важен, поскольку он свидетельствует о недосмотре в дизайне порталов Power Apps, который с тех пор был исправлен.
Помимо управления внутренними базами данных и предложения основы для разработки приложений, платформа Power Apps также предоставляет готовые интерфейсы программирования приложений для взаимодействия с этими данными.
Неправильная конфигурация приводит к уязвимости
Исследователи из Upguard поняли, что при включении этих API платформа по умолчанию делает соответствующие данные общедоступными.
Включение настроек конфиденциальности выполнялось вручную, и в результате многие клиенты неправильно настраивали свои приложения, оставив небезопасное значение по умолчанию.
Мы обнаружили, что один из них был неправильно настроен для предоставления данных, и мы подумали, мы никогда об этом не слышали, это разовая проблема или это системная проблема? Благодаря особенностям работы продукта порталов Power Apps очень легко быстро провести опрос. И мы обнаружили, что их очень много. Это было дико.
Сама Microsoft представила ряд баз данных на своих порталах Power Apps, в том числе старый платформа под названием Global Payroll Services, два портала поддержки Business Tools и Customer Insights портал.
Неправильная конфигурация облачных баз данных была серьезной проблемой на протяжении многих лет, подвергая огромные объемы данных несанкционированному доступу или краже.
Крупные облачные компании, такие как Amazon Web Services, Google Cloud Platform и Microsoft Azure, предприняли шаги для хранения данных клиентов. в частном порядке по умолчанию с самого начала и пометить потенциальные неправильные конфигурации, но отрасль не приоритизировала проблему до тех пор, пока в последнее время.
Исследователи Upguard не могли добраться до каждой организации, потому что их было слишком много, поэтому они также раскрыли результаты в Microsoft.
Пользователи могут проверить настройки своего портала с помощью инструмента Microsoft.
В начале августа Microsoft объявила порталы Power Apps теперь по умолчанию будут хранить данные API и другую информацию в частном порядке.
Компания Redmond также выпустил инструмент клиенты могут использовать для проверки настроек своего портала.
Но между исправлениями Microsoft и собственными уведомлениями UpGuard эксперты теперь говорят, что подавляющее большинство открытых порталов, и все наиболее уязвимые, теперь являются частными.
Что касается других вещей, над которыми мы работали, общеизвестно, что облачные сегменты могут быть неправильно настроены, поэтому мы не обязаны защищать их все. Но никто никогда не убирал их раньше, поэтому мы чувствовали, что у нас есть этический долг - обезопасить, по крайней мере, наиболее чувствительные, прежде чем мы сможем говорить о системных проблемах.
Как вы относитесь ко всей этой ситуации? Поделитесь с нами своими мыслями в разделе комментариев ниже.
