- Več kot 38 milijonov zapisov je v javnost prišlo zaradi ljudi, ki uporabljajo privzete konfiguracije na portalih Microsoft Power Apps.
- Po mnenju raziskovalcev so bili ti občutljivi podatki, ki so bili izpostavljeni, shranjeni v Microsoftovi portalski storitvi Power Apps.
- Ko je omogočila nekatere API -je, je platforma privzeto omogočila javno dostopnost ustreznih podatkov.
- Napačna konfiguracija podatkovnih baz v oblaku je že vrsto let resna težava, ki izpostavlja ogromne količine podatkov neprimernemu dostopu ali kraji.
Kot veste, je Power Apps Microsoftova platforma z nizko kodo za organizacije, ki hitro razvijajo polnopravne aplikacije, večinoma za notranjo uporabo, skupaj s prednjim delom in zaledjem.
To je resnično močno orodje, ki vam omogoča izdelavo aplikacij, tudi če niste dovolj usposobljeni za programiranje.
Čeprav Microsoft redno posodablja Power Apps z novimi funkcijami in zmogljivostmi, je lahko novo poročilo zaskrbljujoče za organizacije.
Zdi se, da je več kot 38 milijonov zapisov priteklo v splet zaradi ljudi, ki uporabljajo privzete konfiguracije na portalih Microsoft Power Apps.
Incident je prizadel velika podjetja, kot so American Airlines, Ford, transportno in logistično podjetje J.B. Hunt, Ministrstvo za zdravje Maryland, Mestna uprava za promet v New Yorku in javnost v New Yorku šole.
Medtem ko so bile izpostavljenosti podatkov obravnavane, kažejo, da ima lahko ena slaba konfiguracija na priljubljeni platformi daljnosežne posledice.
Podatki o sledenju stikov, izpostavljeni po internetu
Vsi izpostavljeni podatki so bili shranjeni v Microsoftovi storitvi portala Power Apps, ki je razvojna platforma, ki olajša ustvarjanje spletnih ali mobilnih aplikacij za zunanjo uporabo.
Če morate med recimo pandemijo hitro ustvariti spletno mesto za prijavo za imenovanje cepiva, lahko portali Power Apps ustvarijo tako javno mesto kot zaledje za upravljanje podatkov.
Maja so raziskovalci varnostnega podjetja Upguard začel preiskovati veliko portalov Power Apps, ki so javno razkrili podatke, ki bi morali biti zasebni.
Med temi je bilo nekaj Power Apps, ki jih je Microsoft izdelal za lastne namene.
Vendar ni znano, da bi bil noben od podatkov ogrožen, vendar je ugotovitev še vedno pomembna, saj razkriva nadzor nad oblikovanjem portalov Power Apps, ki je bil od takrat popravljen.
Poleg upravljanja notranjih baz podatkov in ponuja temelje za razvoj aplikacij, platforma Power Apps ponuja tudi že pripravljene vmesnike za programiranje aplikacij za interakcijo s temi podatki.
Napačna konfiguracija vodi v ranljivost
Raziskovalci iz Upguarda so ugotovili, da je platforma pri omogočanju teh API -jev privzeto omogočila javno dostopnost ustreznih podatkov.
Omogočanje nastavitev zasebnosti je bil ročni postopek, zato so mnoge stranke napačno konfigurirale svoje aplikacije, tako da so bile negotove privzete.
Našli smo enega od teh, ki je bil napačno konfiguriran za razkrivanje podatkov, in pomislili smo, da za to še nismo slišali, ali je to enkratna stvar ali je to sistemska težava? Zaradi načina delovanja portala Power Apps je zelo enostavno hitro narediti anketo. Odkrili smo, da je izpostavljenih na tone teh. Bilo je divje.
Microsoft je na svojih portalih Power Apps razkril številne zbirke podatkov, vključno s starim platformo, imenovano Global Payroll Services, dva portala za podporo poslovnim orodjem in Customer Insights portal.
Napačna konfiguracija podatkovnih baz v oblaku je že vrsto let resna težava, ki izpostavlja ogromne količine podatkov neprimernemu dostopu ali kraji.
Velika podjetja v oblaku, kot so Amazon Web Services, Google Cloud Platform in Microsoft Azure, so sprejela vse ukrepe za shranjevanje podatkov strank zasebno privzeto od začetka in označi možne napačne konfiguracije, vendar pa industrija temu ni dala prednost do poštenosti pred kratkim.
Raziskovalci Upguarda niso mogli priti do vsakega subjekta, ker jih je bilo preveč, zato so ugotovitve razkrili tudi Microsoftu.
Uporabniki lahko preverijo nastavitve svojega portala z Microsoftovim orodjem
V začetku avgusta, Microsoft je napovedal da bodo portali Power Apps zdaj privzeto shranjevali podatke API -ja in druge podatke zasebno.
Tudi podjetje Redmond izdal orodje lahko stranke preverijo nastavitve portala.
Toda med Microsoftovimi popravki in lastnimi obvestili UpGuarda strokovnjaki zdaj pravijo, da je velika večina izpostavljenih portalov in vsi najobčutljivejši zdaj zasebni.
Z drugimi stvarmi, na katerih smo delali, je splošno znano, da je vedro v oblaku mogoče napačno konfigurirati, zato nismo dolžni zagotoviti varnosti vseh. Toda nihče jih še ni počistil, zato smo čutili, da imamo etično dolžnost zagotoviti vsaj tiste najbolj občutljive, preden bomo lahko spregovorili o sistemskih vprašanjih.
Kakšen je vaš pogled na celotno situacijo? Delite svoje misli z nami v spodnjem oddelku za komentarje.
