- Microsoft Power Apps portallarında varsayılan yapılandırmaları kullanan kişiler nedeniyle 38 milyondan fazla kayıt çevrimiçi olarak sızdırıldı.
- Araştırmacılara göre, açığa çıkan bu hassas verilerin tamamı Microsoft'un Power Apps portal hizmetinde depolandı.
- Belirli API'leri etkinleştirdikten sonra, platform varsayılan olarak karşılık gelen verileri genel olarak erişilebilir hale getirdi.
- Bulut tabanlı veritabanlarının yanlış yapılandırılması, büyük miktarda veriyi uygunsuz erişime veya hırsızlığa maruz bırakarak yıllar içinde ciddi bir sorun olmuştur.
Bildiğiniz gibi, Power Apps, kuruluşların bir ön uç ve bir arka uç ile tamamlanmış, çoğunlukla dahili kullanım için tam teşekküllü uygulamaları hızla geliştirmeleri için Microsoft'un düşük kodlu platformudur.
Programlama konusunda çok yetenekli olmasanız bile uygulamalar oluşturmanıza olanak tanıyan gerçekten güçlü bir araçtır.
Microsoft, Power Apps'i yeni özellikler ve yeteneklerle düzenli olarak güncellemesine rağmen, yeni bir rapor kuruluşlar için endişe kaynağı olabilir.
Microsoft Power Apps portallarında varsayılan yapılandırmaları kullanan kişiler nedeniyle 38 milyondan fazla kaydın çevrimiçi olarak sızdırıldığı görülüyor.
Olay, American Airlines, Ford gibi büyük şirketleri, nakliye ve lojistik şirketi J.B. Hunt, Maryland Sağlık Bakanlığı, New York Belediye Ulaşım Otoritesi ve New York Şehri halkı okullar.
Veri riskleri ele alınırken, popüler bir platformdaki kötü bir yapılandırma ayarının nasıl geniş kapsamlı sonuçlara yol açabileceğini gösteriyorlar.
İnternet üzerinden açığa çıkan kişi izleme bilgileri
Ortaya çıkan verilerin tümü, harici kullanım için web veya mobil uygulamalar oluşturmayı kolaylaştıran bir geliştirme platformu olan Microsoft'un Power Apps portal hizmetinde depolandı.
Örneğin bir salgın sırasında hızlı bir şekilde bir aşı randevusu kayıt sitesi başlatmanız gerekirse, Power Apps portalları hem halka açık siteyi hem de veri yönetimi arka ucunu oluşturabilir.
Mayıs ayında, güvenlik firması Upguard'dan araştırmacılar araştırmaya başladı özel olması gereken verileri herkese açık olarak gösteren çok sayıda Power Apps portalı.
Bunlar arasında Microsoft'un kendi amaçları için yaptığı bazı Power Apps vardı.
Bununla birlikte, verilerin hiçbirinin güvenliğinin ihlal edildiği bilinmemektedir, ancak Power Apps portallarının tasarımında o zamandan beri düzeltilen bir gözetimi ortaya çıkardığı için bulgu hala önemli bir bulgudur.
Power Apps platformu, dahili veritabanlarını yönetmenin ve uygulamalar geliştirmek için bir temel sunmanın yanı sıra, bu verilerle etkileşim kurmak için hazır uygulama programlama arabirimleri de sağlar.
Yanlış yapılandırma güvenlik açığına yol açar
Upguard'dan araştırmacılar, bu API'leri etkinleştirirken, platformun varsayılan olarak karşılık gelen verileri herkese açık hale getirdiğini fark etti.
Gizlilik ayarlarını etkinleştirmek manuel bir işlemdi ve sonuç olarak birçok müşteri, güvenli olmayan varsayılanı bırakarak uygulamalarını yanlış yapılandırdı.
Verileri ifşa etmek için yanlış yapılandırılmış bunlardan birini bulduk ve bunu hiç duymadık, bu bir kerelik bir şey mi yoksa bu sistemsel bir sorun mu? Power Apps portalları ürününün çalışma şekli nedeniyle hızlı bir şekilde anket yapmak çok kolaydır. Ve bunlardan açığa çıkan tonlarca olduğunu keşfettik. Vahşiydi.
Microsoft, kendi Power Apps portallarında, eski bir Global Bordro Hizmetleri adlı platform, iki İş Araçları Destek portalı ve bir Customer Insights portal.
Bulut tabanlı veritabanlarının yanlış yapılandırılması, büyük miktarda veriyi uygunsuz erişime veya hırsızlığa maruz bırakarak yıllar içinde ciddi bir sorun olmuştur.
Amazon Web Services, Google Cloud Platform ve Microsoft Azure gibi büyük bulut şirketleri, müşterilerin verilerini depolamak için adımlar attı. başlangıçtan itibaren varsayılan olarak özel olarak ve olası yanlış yapılandırmaları işaretle, ancak sektör, sorunu adil bir şekilde son günlerde.
Upguard araştırmacıları her varlığa ulaşamadı çünkü çok fazla vardı, bu yüzden bulguları Microsoft'a da açıkladılar.
Kullanıcılar Microsoft'un aracıyla portal ayarlarını kontrol edebilir
Ağustos başında, Microsoft duyurdu Power Apps portallarının artık varsayılan olarak API verilerini ve diğer bilgileri özel olarak depolamaya başlayacağını belirtir.
Redmond şirketi de bir araç yayınladı müşteriler portal ayarlarını kontrol etmek için kullanabilir.
Ancak, Microsoft'un düzeltmeleri ve UpGuard'ın kendi bildirimleri arasında, uzmanlar artık açıkta kalan portalların büyük çoğunluğunun ve en hassas olanların hepsinin artık özel olduğunu söylüyor.
Üzerinde çalıştığımız diğer şeylerle birlikte, bulut paketlerinin yanlış yapılandırılabileceği herkes tarafından biliniyor, dolayısıyla hepsini güvenceye almak bizim görevimiz değil. Ancak daha önce hiç kimse bunları temizlememişti, bu yüzden sistemik meseleler hakkında konuşmadan önce en azından en hassas olanları güvence altına almanın etik bir görev olduğunu hissettik.
Tüm bu duruma yaklaşımınız nedir? Aşağıdaki yorumlar bölümünde düşüncelerinizi bizimle paylaşın.
