Configurarea slabă a Microsoft Power Apps a expus milioane de date
0Un total de 38 de milioane de înregistrări stocate pe sute de portaluri Microsoft Power Apps au fost găsite expuse pe internet.
Baza de date includea o varietate de informaţii de identificare personală (PII), de la nume şi adrese de e-mail la numere de securitate socială.„Tipurile de date au variat în funcţie de portalul pe care au fost găsite şi includeau informaţii personale utilizate pentru urmărirea contactelor COVID-19, programările de vaccinare, numerele de securitate socială ai aplicanţilor la diverse locuri de muncă, ID-urile angajaţilor şi milioane de nume şi adrese de e-mail", a spus UpGuard într-o postare de blog care a detaliat această descoperire.
Amer Owaida, Security Writer al ESET, explică pe blog ce s-a întâmplat, care sunt implicaţiile şi ce măsuri a luat Microsoft.
Dacă datele ar fi căzut în mâinile greşite, ar putea fi abuzate de criminalii cibernetici pentru orice fel de activităţi ilicite, de la phishing şi alte atacuri de inginerie socială până la furtul de identitate. Alternativ, datele puteau ajunge la vânzare pe dark web.
Multiplele scurgeri de date descoperite şi raportate de către cercetători par a proveni din portalurile Microsoft Power Apps, configurate pentru a permite accesul publicului. Portalurile Microsoft Power Apps sunt un instrument care permite oricui să creeze site-uri web responsive şi le oferă utilizatorilor acces intern şi extern securizat la date, fie anonim, fie utilizând furnizori comerciali de autentificare.
În termeni mai simpli, problema principală a fost că, în loc ca unele tipuri de date, cum ar fi PII, să rămână private, configurarea greşită a făcut ca acestea să poată fi accesate de către oricine. „Spre exemplu, în cazul paginilor de înregistrare pentru vaccinarea COVID-19, există tipuri de date care ar trebui să fie publice, cum ar fi locaţiile locurilor de vaccinare şi intervalele orare disponibile, dar există şi tipuri de date care ar trebui să rămână private, cum ar fi informaţiile de identificare personală a persoanelor vaccinate”, A explicat UpGuard.
În total, au fost afectate 47 de instituţii, companii şi organisme guvernamentale din întreg teritoriul SUA. Lista include American Airlines, producătorul auto Ford, compania de logistică JB Hunt, Departamentul Sănătăţii din Maryland, Autoritatea Municipală de Transport din New York City, Şcolile din New York City şi chiar Microsoft.
UpGuard a descoperit prima oară un portal Power Apps care conţinea o listă nesecurizată cu informaţii de identificare personală în data de 24 mai. Compania a continuat să notifice proprietarul aplicaţiei, iar datele au fost securizate. Cazul a ridicat, însă, semne de întrebare dacă există mai multe portaluri care să ofere acces la baze de date sensibile slab securizate. O analiză a constatat că există multe portaluri Power Apps care ar putea stoca informaţii sensibile.
La 24 iunie, compania a alertat Microsoft prin efectuarea unui raport de vulnerabilitate cu ajutorul centrului său de resurse de securitate. Dincolo de comunicarea cu gigantul tehnologic de la Redmond, UpGuard a notificat şi organizaţiile care păreau suspecte de cele mai severe expuneri.
Între timp, ca răspuns la incident, Microsoft a luat măsuri pentru a remedia situaţia, lansând instrumente care le permit utilizatorilor să-şi verifice portalurile şi să permită în mod implicit funcţia Table Permissions, ceea ce limitează accesul la lista de date pe care un utilizator o poate vedea.
Bazele de date cu configuraţie slabă şi nesecurizate, expuse pe internet, pot fi considerate o problemă permanentă, în ultimul an fiind raportate numeroase astfel de incidente. Într-un caz recent, datele medicale ale milioane de pacienţi au fost expuse online, în timp ce o altă scurgere de date a compromis datele a milioane de oaspeţi ai hotelurilor din Spania. Cu puţin timp în urmă, Centrul de control al terorismului (TSC), condus de FBI, a lăsat nesecurizată pe internet o listă de supraveghere a teroriştilor pentru trei săptămâni.