- Понад 38 мільйонів записів потрапили в мережу через людей, які використовують конфігурації за замовчуванням на порталах Microsoft Power Apps.
- За словами дослідників, усі ці конфіденційні дані, які були розкриті, зберігалися в службі порталу Microsoft Power Apps.
- Після ввімкнення певних API платформа за замовчуванням робила відповідні дані загальнодоступними.
- Неправильна конфігурація хмарних баз даних була серйозною проблемою протягом багатьох років, піддаючи величезну кількість даних неналежному доступу або крадіжці.
Як ви знаєте, Power Apps — це платформа Microsoft з низьким кодом для організацій, щоб швидко розробляти повноцінні додатки, переважно для внутрішнього використання, в комплекті з інтерфейсом і бекендом.
Це дійсно потужний інструмент, який дозволяє створювати додатки, навіть якщо ви погано володієте навичками програмування.
Незважаючи на те, що Microsoft регулярно оновлює Power Apps новими функціями та можливостями, новий звіт може викликати занепокоєння для організацій.
Схоже, понад 38 мільйонів записів злилися в Інтернет через людей, які використовують конфігурації за замовчуванням на порталах Microsoft Power Apps.
Інцидент торкнувся таких великих компаній, як American Airlines, Ford, транспортно-логістична компанія J.B. Хант, Департамент охорони здоров’я Меріленду, муніципальне управління транспорту Нью-Йорка та громадськість Нью-Йорка школи.
І хоча доступ до даних було розглянуто, вони показують, як одна погана конфігурація на популярній платформі може мати далекосяжні наслідки.
Інформація про відстеження контактів розкривається через Інтернет
Усі розкриті дані зберігалися в службі порталу Microsoft Power Apps, яка є платформою розробки, яка дозволяє легко створювати веб- або мобільні програми для зовнішнього використання.
Якщо під час, скажімо, пандемії, вам потрібно швидко розгорнути сайт для реєстрації вакцинації, портали Power Apps можуть створювати як загальнодоступний сайт, так і серверну систему керування даними.
Ще в травні дослідники з охоронної фірми Upguard почав розслідування велика кількість порталів Power Apps, які публічно розкривали дані, які мали бути приватними.
Серед них були деякі Power Apps, створені Microsoft для власних цілей.
Однак відомо, що жоден із даних не був скомпрометований, але цей висновок все ще є важливим, оскільки він показує помилку в дизайні порталів Power Apps, яку з тих пір було виправлено.
Окрім керування внутрішніми базами даних та створення основи для розробки додатків, платформа Power Apps також надає готові інтерфейси програмування програм для взаємодії з цими даними.
Неправильна конфігурація призводить до вразливості
Дослідники з Upguard зрозуміли, що під час увімкнення цих API платформа за замовчуванням робила відповідні дані загальнодоступними.
Увімкнення налаштувань конфіденційності було ручним процесом, і, як наслідок, багато клієнтів неправильно налаштували свої програми, залишивши незахищеним за замовчуванням.
Ми знайшли один із них, який був неправильно налаштований для надання даних, і ми подумали, що ми ніколи про це не чули, це разова річ чи це системна проблема? Завдяки тому, як працює продукт порталів Power Apps, дуже легко провести опитування. І ми виявили, що їх виявлено безліч. Це було дико.
Сама Microsoft розкрила ряд баз даних на власних порталах Power Apps, включаючи стару платформа під назвою Global Payroll Services, два портали підтримки бізнес-інструментів і Customer Insights портал.
Неправильна конфігурація хмарних баз даних була серйозною проблемою протягом багатьох років, піддаючи величезну кількість даних неналежному доступу або крадіжці.
Великі хмарні компанії, такі як Amazon Web Services, Google Cloud Platform і Microsoft Azure, вжили заходів для зберігання даних клієнтів. приватно за замовчуванням із самого початку та позначати потенційні неправильні конфігурації, але галузь не визначила пріоритетність проблеми до справедливого нещодавно.
Дослідники Upguard не змогли дістатися до кожної сутності, оскільки їх було занадто багато, тому вони також розкрили результати Microsoft.
Користувачі можуть перевірити налаштування свого порталу за допомогою інструмента Microsoft
На початку серпня, Microsoft оголосила що портали Power Apps тепер за замовчуванням зберігатимуть дані API та іншу інформацію приватно.
Також компанія Редмонд випустили інструмент клієнти можуть використовувати, щоб перевірити налаштування свого порталу.
Але між виправленнями Microsoft і власними сповіщеннями UpGuard, експерти тепер стверджують, що переважна більшість відкритих порталів, і всі найбільш чутливі, тепер є приватними.
Що стосується інших речей, над якими ми працювали, загальновідомо, що хмарні сегменти можуть бути неправильно налаштовані, тому ми не зобов’язані допомогти захистити їх усі. Але ніхто ніколи не прибирав їх раніше, тому ми вважали, що маємо етичний обов’язок убезпечити принаймні найчутливіші, перш ніж говорити про системні проблеми.
Як ви ставитеся до всієї цієї ситуації? Поділіться своїми думками з нами в розділі коментарів нижче.
