Configurarea slabă a Microsoft Power Apps a expus milioane de date


Memoriile cache de date care erau accesibile publicului includeau nume, adrese de e-mail și numere de securitate socială

Un total de 38 de milioane de înregistrări stocate pe sute de portaluri Microsoft Power Apps au fost găsite expuse pe internet. Baza de date includea o varietate de informații de identificare personală (PII), de la nume și adrese de e-mail la numere de securitate socială.

„Tipurile de date au variat în funcție de portalul pe care au fost găsite și includeau informații personale utilizate pentru urmărirea contactelor COVID-19, programările de vaccinare, numerele de securitate socială ai aplicanților la diverse locuri de muncă, ID-urile angajaților și milioane de nume și adrese de e-mail", a spus UpGuard într-o postare de blog care a detaliat această descoperire.

Dacă datele ar fi căzut în mâinile greșite, ar putea fi abuzate de criminalii cibernetici pentru orice fel de activități ilicite, de la phishing și alte atacuri de inginerie socială până la furtul de identitate. Alternativ, datele puteau ajunge la vânzare pe dark web.

Multiplele scurgeri de date descoperite și raportate de către cercetători par a proveni din portalurile Microsoft Power Apps, configurate pentru a permite accesul publicului. Portalurile Microsoft Power Apps sunt un instrument care permite oricui să creeze site-uri web responsive și le oferă utilizatorilor acces intern și extern securizat la date, fie anonim, fie utilizând furnizori comerciali de autentificare.

În termeni mai simpli, problema principală a fost că, în loc ca unele tipuri de date, cum ar fi PII, să rămână private, configurarea greșită a făcut ca acestea să poată fi accesate de către oricine. „Spre exemplu, în cazul paginilor de înregistrare pentru vaccinarea COVID-19, există tipuri de date care ar trebui să fie publice, cum ar fi locațiile locurilor de vaccinare și intervalele orare disponibile, dar există și tipuri de date care ar trebui să rămână private, cum ar fi informațiile de identificare personală a persoanelor vaccinate”, A explicat UpGuard.

În total, au fost afectate 47 de instituții, companii și organisme guvernamentale din întreg teritoriul SUA. Lista include American Airlines, producătorul auto Ford, compania de logistică JB Hunt, Departamentul Sănătății din Maryland, Autoritatea Municipală de Transport din New York City, Școlile din New York City și chiar Microsoft.

UpGuard a descoperit prima oară un portal Power Apps care conținea o listă nesecurizată cu informații de identificare personală în data de 24 mai. Compania a continuat să notifice proprietarul aplicației, iar datele au fost securizate. Cazul a ridicat, însă, semne de întrebare dacă există mai multe portaluri care să ofere acces la baze de date sensibile slab securizate. O analiză a constatat că există multe portaluri Power Apps care ar putea stoca informații sensibile.

La 24 iunie, compania a alertat Microsoft prin efectuarea unui raport de vulnerabilitate cu ajutorul centrului său de resurse de securitate. Dincolo de comunicarea cu gigantul tehnologic de la Redmond, UpGuard a notificat și organizațiile care păreau suspecte de cele mai severe expuneri.

Între timp, ca răspuns la incident, Microsoft a luat măsuri pentru a remedia situația, lansând instrumente care le permit utilizatorilor să-și verifice portalurile și să permită în mod implicit funcția Table Permissions, ceea ce limitează accesul la lista de date pe care un utilizator o poate vedea.

Nimic nou

Bazele de date cu configurație slabă și nesecurizate, expuse pe internet, pot fi considerate o problemă permanentă, în ultimul an fiind raportate numeroase astfel de incidente. Într-un caz recent, datele medicale ale milioane de pacienți au fost expuse online, în timp ce o altă scurgere de date a compromis datele a milioane de oaspeți ai hotelului. Cu doar câteva zile în urmă, Centrul de control al terorismului (TSC), condus de FBI, a lăsat nesecurizată pe internet o listă de supraveghere a teroriștilor pentru trei săptămâni.

Amer Owaida August 25, 2021

Lasa un comentariu