- บันทึกมากกว่า 38 ล้านรายการรั่วไหลทางออนไลน์เนื่องจากผู้ใช้การกำหนดค่าเริ่มต้นในพอร์ทัล Microsoft Power Apps
- ข้อมูลที่ละเอียดอ่อนนี้ถูกเปิดเผยทั้งหมดถูกเก็บไว้ในบริการพอร์ทัล Power Apps ของ Microsoft ตามที่นักวิจัยกล่าว
- เมื่อเปิดใช้งาน API บางตัว แพลตฟอร์มจะมีค่าเริ่มต้นในการทำให้ข้อมูลที่เกี่ยวข้องเข้าถึงได้แบบสาธารณะ
- การกำหนดค่าฐานข้อมูลบนคลาวด์ไม่ถูกต้องเป็นปัญหาร้ายแรงในช่วงหลายปีที่ผ่านมา ทำให้ข้อมูลจำนวนมหาศาลถูกเข้าถึงหรือถูกขโมยโดยไม่เหมาะสม
อย่างที่คุณทราบ Power Apps เป็นแพลตฟอร์มแบบ low-code ของ Microsoft สำหรับองค์กรในการพัฒนาแอปพลิเคชันแบบเต็มรูปแบบอย่างรวดเร็ว ส่วนใหญ่สำหรับการใช้งานภายใน พร้อมด้วยฟรอนต์เอนด์และแบ็กเอนด์
เป็นเครื่องมือที่ทรงพลังจริงๆ ที่ให้คุณสร้างแอพได้ แม้ว่าคุณจะไม่มีทักษะในการเขียนโปรแกรมก็ตาม
แม้ว่า Microsoft จะอัปเดต Power Apps เป็นประจำด้วยคุณลักษณะและความสามารถใหม่ แต่รายงานใหม่อาจทำให้เกิดข้อกังวลสำหรับองค์กร
ดูเหมือนว่ามีการรั่วไหลของระเบียนมากกว่า 38 ล้านรายการทางออนไลน์เนื่องจากผู้ใช้การกำหนดค่าเริ่มต้นในพอร์ทัล Microsoft Power Apps
เหตุการณ์ดังกล่าวส่งผลกระทบต่อบริษัทใหญ่ๆ เช่น American Airlines, Ford, บริษัทขนส่งและโลจิสติกส์ J.B. Hunt, the Maryland Department of Health, the New York City Municipal Transportation Authority, and New York City public โรงเรียน
และในขณะที่มีการจัดการการเปิดเผยข้อมูล พวกเขาแสดงให้เห็นว่าการตั้งค่าการกำหนดค่าที่ไม่ดีอย่างใดอย่างหนึ่งในแพลตฟอร์มยอดนิยมสามารถส่งผลในวงกว้างได้อย่างไร
ข้อมูลการติดตามการติดต่อเปิดเผยผ่านอินเทอร์เน็ต
ข้อมูลที่ถูกเปิดเผยทั้งหมดถูกเก็บไว้ในบริการพอร์ทัล Power Apps ของ Microsoft ซึ่งเป็นแพลตฟอร์มการพัฒนาที่ทำให้ง่ายต่อการสร้างเว็บหรือแอปมือถือสำหรับการใช้งานภายนอก
หากคุณต้องการเปิดไซต์ลงทะเบียนการนัดหมายวัคซีนอย่างรวดเร็วในระหว่างการระบาดใหญ่ พอร์ทัล Power Apps สามารถสร้างทั้งไซต์ที่เปิดเผยต่อสาธารณะและแบ็กเอนด์การจัดการข้อมูล
ย้อนกลับไปในเดือนพฤษภาคม นักวิจัยจากบริษัทรักษาความปลอดภัย Upguard เริ่มสืบสวน พอร์ทัล Power Apps จำนวนมากที่เปิดเผยข้อมูลต่อสาธารณะที่ควรเป็นส่วนตัว
กลุ่มเหล่านี้คือ Power Apps บางตัวที่ Microsoft สร้างขึ้นเพื่อจุดประสงค์ของตนเอง
อย่างไรก็ตาม ไม่ทราบว่าข้อมูลใดถูกบุกรุก แต่การค้นพบนี้ยังคงมีความสำคัญ เนื่องจากเผยให้เห็นการกำกับดูแลในการออกแบบพอร์ทัล Power Apps ที่ได้รับการแก้ไขตั้งแต่นั้นเป็นต้นมา
นอกจากการจัดการฐานข้อมูลภายในและการนำเสนอพื้นฐานในการพัฒนาแอปแล้ว แพลตฟอร์ม Power Apps ยังมีอินเทอร์เฟซการเขียนโปรแกรมแอปพลิเคชันสำเร็จรูปเพื่อโต้ตอบกับข้อมูลนั้น
การกำหนดค่าผิดพลาดนำไปสู่ช่องโหว่
นักวิจัยจาก Upguard ตระหนักดีว่าเมื่อเปิดใช้งาน API เหล่านี้ แพลตฟอร์มดังกล่าวมีค่าเริ่มต้นที่จะทำให้ข้อมูลที่เกี่ยวข้องเข้าถึงได้แบบสาธารณะ
การเปิดใช้งานการตั้งค่าความเป็นส่วนตัวเป็นกระบวนการที่ต้องดำเนินการด้วยตนเอง และด้วยเหตุนี้ ลูกค้าจำนวนมากจึงกำหนดค่าแอปผิดโดยปล่อยให้เป็นค่าเริ่มต้นที่ไม่ปลอดภัย
เราพบว่ามีการกำหนดค่าที่ไม่ถูกต้องในการเปิดเผยข้อมูล และเราคิดว่าเราไม่เคยได้ยินเรื่องนี้มาก่อน เกิดขึ้นเพียงครั้งเดียวหรือเป็นปัญหาเชิงระบบ เนื่องจากวิธีการทำงานของผลิตภัณฑ์พอร์ทัล Power Apps การทำแบบสำรวจอย่างรวดเร็วจึงง่ายมาก และเราค้นพบว่ามีสิ่งเหล่านี้มากมายที่ถูกเปิดเผย มันเป็นป่า
Microsoft เปิดเผยฐานข้อมูลจำนวนมากในพอร์ทัล Power Apps ของตนเอง รวมถึงฐานข้อมูลเก่า แพลตฟอร์มที่เรียกว่า Global Payroll Services พอร์ทัลสนับสนุนเครื่องมือธุรกิจสองแห่ง และ Customer Insights พอร์ทัล
การกำหนดค่าฐานข้อมูลบนคลาวด์ไม่ถูกต้องเป็นปัญหาร้ายแรงในช่วงหลายปีที่ผ่านมา ทำให้ข้อมูลจำนวนมหาศาลถูกเข้าถึงหรือถูกขโมยโดยไม่เหมาะสม
บริษัทระบบคลาวด์ขนาดใหญ่ เช่น Amazon Web Services, Google Cloud Platform และ Microsoft Azure ได้ทำตามขั้นตอนทั้งหมดเพื่อจัดเก็บข้อมูลของลูกค้า ส่วนตัวโดยค่าเริ่มต้นตั้งแต่เริ่มต้นและตั้งค่าสถานะการกำหนดค่าผิดพลาดที่อาจเกิดขึ้น แต่อุตสาหกรรมไม่ได้จัดลำดับความสำคัญของปัญหาจนกว่าจะเป็นธรรม เร็ว ๆ นี้.
นักวิจัยของ Upguard ไม่สามารถเข้าถึงทุกหน่วยงานได้ เนื่องจากมีจำนวนมากเกินไป ดังนั้นพวกเขาจึงเปิดเผยสิ่งที่ค้นพบต่อ Microsoft ด้วย
ผู้ใช้สามารถตรวจสอบการตั้งค่าพอร์ทัลด้วยเครื่องมือของ Microsoft
เมื่อต้นเดือนสิงหาคมที่ผ่านมา ไมโครซอฟท์ประกาศ พอร์ทัล Power Apps นั้นจะมีค่าเริ่มต้นในการจัดเก็บข้อมูล API และข้อมูลอื่นๆ แบบส่วนตัว
บริษัทเรดมอนด์ก็เช่นกัน ปล่อยเครื่องมือ ลูกค้าสามารถใช้เพื่อตรวจสอบการตั้งค่าพอร์ทัลได้
แต่ระหว่างการแก้ไขของ Microsoft และการแจ้งเตือนของ UpGuard ผู้เชี่ยวชาญกล่าวว่าพอร์ทัลที่ถูกเปิดเผยส่วนใหญ่และพอร์ทัลที่ละเอียดอ่อนที่สุดทั้งหมดนั้นเป็นแบบส่วนตัว
สำหรับสิ่งอื่น ๆ ที่เราได้ดำเนินการไป เป็นที่ทราบกันดีอยู่แล้วว่าคลาวด์บัคเก็ตสามารถกำหนดค่าผิดพลาดได้ จึงไม่เป็นหน้าที่ของเราที่จะช่วยรักษาความปลอดภัยทั้งหมด แต่ไม่มีใครเคยทำความสะอาดสิ่งเหล่านี้มาก่อน ดังนั้นเราจึงรู้สึกว่าเรามีหน้าที่ตามหลักจริยธรรมในการรักษาความปลอดภัยอย่างน้อยที่สุดคนที่ละเอียดอ่อนที่สุดก่อนที่จะสามารถพูดคุยเกี่ยวกับปัญหาเชิงระบบได้
คุณคิดอย่างไรกับสถานการณ์ทั้งหมดนี้ แบ่งปันความคิดของคุณกับเราในส่วนความคิดเห็นด้านล่าง
