Chybou Microsoftu unikly záznamy webových aplikací
Microsoft díky špatné konfiguraci zveřejnil 38 milionů záznamů z online aplikací využívající platformu portálů Microsoft Power Apps. Záznamy obsahují údaje ze sledování COVID-19, registrace vakcín a databáze zaměstnanců, včetně adres domů, telefonních čísel, čísel sociálního pojištění a stavu očkování.
Incident se týká větších společnosti, jako například American Airlines, Ford, J.B. Hunt, ministerstva zdravotnictví státu Maryland, newyorského městského dopravního úřadu a newyorských veřejných škol. Jedná si již o několikátý případ, kdy za únik může nesprávné nastavení konfigurace dat platformy.
Zákazníci mohou pomocí služeb Power Apps snadno vytvářet vlastní webové a mobilní aplikace. Platforma poskytuje vývojářům rozhraní pro programování aplikací (API), která mohou používat se shromážděnými daty. Společnost Upguard však zjistila, že přístup k rozhraním API způsobuje, že data získaná prostřednictvím portálů Power Apps jsou ve výchozím nastavení veřejná. Vývojáři musí provést ruční rekonfiguraci, aby tyto informace zůstaly soukromé.
V květnu výzkumníci z bezpečnostní firmy Upguard zjistili, že data z několika portálů Power Apps jsou veřejně přístupná. Upgard 24. června Centru bezpečnostních zdrojů společnosti Microsoft zaslal zprávu o zranitelnosti, která obsahovala odkazy na konkrétní ohrožené účty portálů Power Apps. Zpráva obsahovala také metody pro odhalení rozhraní API, které umožňovaly anonymní přístup k datům.
Zástupce společnosti Microsoft v pondělí obhajoval zabezpečení produktu s tím, že firma spolupracovala přímo s dotčenými uživateli, aby zajistila, že jejich data zůstanou soukromá. “Spotřebitelé budou okamžitě informováni, pokud budou jejich data zveřejněna” zaznělo z Microsoftu. Otázkou však zůstává zda je oznámení lepším řešením, než zaměření se na prevenci dopadů chybné konfigurace.
Autor: Ondřej Vanáč, spoluzakladatel CyberBlog.cz
Zdroj:E Hacking News
Foto: Pixabay
0 Comments