- Na internete bolo uniknutých viac ako 38 miliónov záznamov kvôli ľuďom, ktorí používajú predvolené konfigurácie na portáloch Microsoft Power Apps.
- Tieto citlivé údaje, ktoré boli odhalené, boli podľa vedcov všetky uložené v portálovej službe Microsoft Power Apps.
- Po povolení určitých rozhraní API platforma predvolene sprístupnila zodpovedajúce údaje verejne.
- Nesprávna konfigurácia cloudových databáz je v priebehu rokov vážnym problémom a vystavuje obrovské množstvo údajov nevhodnému prístupu alebo krádeži.
Ako viete, Power Apps je platforma Microsoftu s nízkym kódom pre organizácie na rýchly vývoj plnohodnotných aplikácií, väčšinou na interné použitie, s frontendom a backendom.
Je to skutočne účinný nástroj, ktorý vám umožní vytvárať aplikácie, aj keď nie ste dostatočne zruční v programovaní.
Napriek tomu, že spoločnosť Microsoft pravidelne aktualizuje Power Apps o nové funkcie a možnosti, nová správa môže byť pre organizácie problémom.
Zdá sa, že online uniklo viac ako 38 miliónov záznamov kvôli ľuďom, ktorí používajú predvolené konfigurácie na portáloch Microsoft Power Apps.
Incident sa týkal veľkých spoločností ako American Airlines, Ford, dopravnej a logistickej spoločnosti J.B. Hunt, ministerstvo zdravotníctva v Marylande, mestský úrad pre dopravu v New Yorku a verejnosť v New Yorku školy.
A aj keď boli údaje o expozíciách vyriešené, ukazujú, ako jedno zlé nastavenie konfigurácie na populárnej platforme môže mať ďalekosiahle dôsledky.
Informácie o sledovaní kontaktov zverejnené na internete
Odhalené údaje boli všetky uložené v portálovej službe Microsoft Power Apps, ktorá je vývojovou platformou, ktorá uľahčuje vytváranie webových alebo mobilných aplikácií na externé použitie.
Ak potrebujete počas povedzme pandémie rýchlo roztočiť stránku na registráciu schôdzky s očkovacou látkou, portály Power Apps môžu vygenerovať webové stránky určené pre verejnosť aj backend pre správu údajov.
Ešte v máji vedci z bezpečnostnej firmy Upguard začal vyšetrovať veľký počet portálov Power Apps, ktoré verejne vystavovali údaje, ktoré mali byť súkromné.
Medzi nimi bolo niekoľko Power Apps, ktoré spoločnosť Microsoft vytvorila na vlastné účely.
O žiadnych údajoch však nie je známe, že by boli ohrozené, ale zistenie je stále dôležité, pretože odhaľuje dohľad nad dizajnom portálov Power Apps, ktorý bol medzičasom opravený.
Platforma Power Apps ponúka okrem správy interných databáz a ponúkania základov pre vývoj aplikácií aj hotové rozhrania na programovanie aplikácií na interakciu s týmito údajmi.
Nesprávna konfigurácia vedie k zraniteľnosti
Vedci z Upguard si uvedomili, že pri povolení týchto API platforma predvolene sprístupnila zodpovedajúce údaje verejne.
Povolenie nastavení ochrany osobných údajov bolo manuálnym procesom a v dôsledku toho mnoho zákazníkov nesprávne nakonfigurovalo svoje aplikácie tým, že ponechalo neisté predvolené nastavenie.
Našli sme jeden z nich, ktorý bol nesprávne nakonfigurovaný, aby odhalil údaje, a mysleli sme si, že sme o tom nikdy nepočuli, je to jednorazová vec alebo je to systémový problém? Vzhľadom na to, ako produkt portálov Power Apps funguje, je veľmi jednoduché rýchlo vykonať prieskum. A zistili sme, že týchto exponovaných je veľa ton. Bolo to divoké.
Samotný Microsoft odhalil množstvo databáz na svojich vlastných portáloch Power Apps, vrátane starej platforma s názvom Global Payroll Services, dva portály podpory Business Tools a Customer Insights portál.
Nesprávna konfigurácia cloudových databáz je v priebehu rokov vážnym problémom a vystavuje obrovské množstvo údajov nevhodnému prístupu alebo krádeži.
Veľké cloudové spoločnosti, ako sú Amazon Web Services, Google Cloud Platform a Microsoft Azure, podnikli všetky kroky na uloženie údajov zákazníkov súkromne od začiatku a nahlási potenciálne nesprávne konfigurácie, ale priemysel tento problém neuprednostnil, kým nebol spravodlivý nedávno.
Vedci z Upguardu sa nemohli dostať ku každému subjektu, pretože ich bolo príliš veľa, a tak tiež oznámili zistenia spoločnosti Microsoft.
Používatelia môžu skontrolovať svoje nastavenia portálu pomocou nástroja spoločnosti Microsoft
Začiatkom augusta, Spoločnosť Microsoft oznámila že portály Power Apps budú teraz predvolene ukladať údaje API a ďalšie informácie súkromne.
Spoločnosť Redmond uvoľnil nástroj zákazníci môžu použiť na kontrolu svojich nastavení portálu.
Medzi opravami spoločnosti Microsoft a vlastnými upozorneniami spoločnosti UpGuard však odborníci teraz tvrdia, že veľká väčšina odhalených portálov a všetky najcitlivejšie sú teraz súkromné.
Pokiaľ ide o ďalšie veci, na ktorých sme pracovali, je verejne známe, že cloudové vedrá môžu byť nesprávne nakonfigurované, takže nie je na nás, aby sme ich všetky pomohli zabezpečiť. Ale nikto ich nikdy predtým neupratoval, takže sme cítili, že máme etickú povinnosť zabezpečiť aspoň tých najcitlivejších, než budeme môcť hovoriť o systémových problémoch.
Aký je váš názor na celú túto situáciu? Podeľte sa s nami o svoje myšlienky v sekcii komentárov nižšie.
