- Више од 38 милиона записа процурило је на интернет због људи који користе подразумеване конфигурације на порталима Мицрософт Повер Аппс.
- Према истраживачима, ови осетљиви подаци који су откривени били су ускладиштени у Мицрософтовој услузи портала Повер Аппс.
- Након омогућавања одређених АПИ -ја, платформа је подразумевано учинила одговарајуће податке доступним јавности.
- Погрешна конфигурација база података заснованих на облаку била је озбиљан проблем годинама, излажући огромне количине података неприкладном приступу или крађи.
Као што знате, Повер Аппс је Мицрософтова платформа са ниским кодом за организације које брзо развијају пуноправне апликације, углавном за унутрашњу употребу, заједно са интерфејсом и позадином.
То је заиста моћан алат који вам омогућава да креирате апликације, чак и ако нисте вешти у програмирању.
Иако Мицрософт редовно ажурира Повер Аппс новим функцијама и могућностима, нови извештај може бити разлог за забринутост организација.
Чини се да је преко 38 милиона записа процурило на мрежу због људи који користе подразумеване конфигурације на порталима Мицрософт Повер Аппс.
Инцидент је погодио велике компаније као што су Америцан Аирлинес, Форд, транспортна и логистичка компанија Ј.Б. Хунт, Министарство здравља Мериленда, Управа за градски саобраћај у Њујорку и јавност у Њујорку школе.
И док су изложености података адресиране, оне показују како једно лоше подешавање конфигурације на популарној платформи може имати далекосежне последице.
Подаци о тражењу контаката изложени путем интернета
Сви изложени подаци похрањени су у Мицрософтовој услузи портала Повер Аппс, која је развојна платформа која олакшава креирање веб или мобилних апликација за вањску употребу.
Ако током, рецимо, пандемије морате брзо да повећате место за пријављивање за заказивање вакцине, портали Повер Аппс могу да генеришу и веб локацију намењену јавности и позадину за управљање подацима.
Још у мају, истраживачи из безбедносне фирме Упгуард започео истрагу велики број Повер Аппс портала који су јавно изложили податке који су требали бити приватни.
Међу њима су биле неке Повер Аппс које је Мицрософт направио за своје потребе.
Међутим, ниједан податак није познат као угрожен, али налаз је и даље важан, јер открива надзор у дизајну портала Повер Аппс који је у међувремену поправљен.
Осим управљања интерним базама података и понуде темеља за развој апликација, платформа Повер Аппс такође нуди готове интерфејсе за програмирање апликација за интеракцију са тим подацима.
Погрешна конфигурација доводи до рањивости
Истраживачи из Упгуарда схватили су да је омогућавањем ових АПИ -ја платформа подразумевано учинила јавне податке доступним.
Омогућавање подешавања приватности био је ручни процес и, као резултат тога, многи корисници су погрешно конфигурисали своје апликације остављајући несигурну подразумевану вредност.
Пронашли смо један од ових који је погрешно конфигурисан за откривање података и помислили смо, никада нисмо чули за ово, да ли је ово једнократна ствар или је ово системски проблем? Због начина на који функционише производ портала Повер Аппс, врло је брзо направити анкету. Открили смо да има на стотине ових изложених. Било је дивље.
Сам Мицрософт је открио бројне базе података на својим Повер Аппс порталима, укључујући и стару платформу под називом Глобал Паиролл Сервицес, два портала за подршку пословним алатима и Цустомер Инсигхтс портал.
Погрешна конфигурација база података заснованих на облаку била је озбиљан проблем годинама, излажући огромне количине података неприкладном приступу или крађи.
Велике компаније у облаку, попут Амазон Веб Сервицес, Гоогле Цлоуд Платформ и Мицрософт Азуре, предузеле су све кораке за складиштење података корисника приватно по дефаулту од почетка и означи потенцијалне погрешне конфигурације, али индустрија није приоритетно поставила приоритет овом питању недавно.
Истраживачи Упгуарда нису могли доћи до сваког ентитета, јер их је било превише, па су такође открили налазе Мицрософту.
Корисници могу да провере поставке свог портала помоћу Мицрософтовог алата
Почетком августа, Мицрософт је објавио да ће Повер Аппс портали сада подразумевано чувати приватне податке АПИ -ја и друге податке.
Компанија Редмонд такође пустио алат корисници могу користити за проверу поставки портала.
Али, између Мицрософтових исправки и УпГуардових сопствених обавештења, стручњаци сада кажу да је велика већина изложених портала, и сви они најосетљивији, сада приватни.
С другим стварима на којима смо радили, јавно је познато да се корпе у облаку могу погрешно конфигурирати, па на нама није обавеза да их заштитимо. Али нико их до сада није очистио, па смо сматрали да имамо етичку дужност да обезбедимо барем оне најосетљивије пре него што будемо могли да разговарамо о системским питањима.
Шта мислите о целој овој ситуацији? Поделите своја размишљања са нама у одељку за коментаре испод.