38 Juta Catatan Terungkap dari Microsoft Power Apps dari Puluhan Organisasi

  • Whatsapp
38 Juta Catatan Terungkap dari Microsoft Power Apps dari Puluhan Organisasi

Lebih dari 38 juta catatan dari 47 entitas berbeda yang bergantung pada platform portal Power Apps Microsoft secara tidak sengaja dibiarkan terbuka secara online, menjadikan fokus tajam “vektor baru paparan data”.

“Jenis data bervariasi antar portal, termasuk informasi pribadi yang digunakan untuk pelacakan kontak COVID-19, janji temu vaksinasi COVID-19, nomor jaminan sosial untuk pelamar kerja, ID karyawan, dan jutaan nama dan alamat email,” tim Riset UpGuard dikatakan dalam pengungkapan yang diumumkan pada hari Senin.

Bacaan Lainnya

Badan pemerintah seperti Indiana, Maryland, dan New York City, dan perusahaan swasta seperti American Airlines, Ford, JB Hunt, dan Microsoft dikatakan terkena dampaknya. Di antara informasi paling sensitif yang dibiarkan terbuka adalah 332.000 alamat email dan ID karyawan yang digunakan oleh layanan penggajian global milik Microsoft sendiri, serta lebih dari 85.000 catatan yang terkait dengan portal Dukungan Alat Bisnis dan Realitas Campuran.

Tim Stack Overflow

Aplikasi Daya adalah platform pengembangan yang diberdayakan Microsoft untuk membangun aplikasi bisnis kustom berkode rendah yang bekerja di seluruh seluler dan web menggunakan templat bawaan, selain menawarkan API untuk memungkinkan akses ke data oleh aplikasi lain, termasuk opsi untuk mengambil dan menyimpan informasi. Perusahaan menggambarkan layanan tersebut sebagai “rangkaian aplikasi, layanan, dan konektor, serta platform data, yang menyediakan lingkungan pengembangan yang cepat untuk membangun aplikasi khusus untuk kebutuhan bisnis Anda.”

Tetapi kesalahan konfigurasi dalam cara portal dapat berbagi dan menyimpan data dapat mengarah pada skenario di mana data sensitif dapat diakses oleh publik, yang mengakibatkan potensi kebocoran data.

“Portal Power Apps memiliki opsi bawaan untuk berbagi data, tetapi mereka juga memiliki tipe data bawaan yang sensitif secara inheren,” kata para peneliti. “Dalam kasus seperti halaman pendaftaran untuk vaksinasi COVID-19, ada tipe data yang harus publik, seperti lokasi situs vaksinasi dan waktu janji temu yang tersedia, dan data sensitif yang harus bersifat pribadi, seperti informasi identitas pribadi dari orang yang divaksinasi. .”

UpGuard mengatakan telah memberi tahu Microsoft tentang kebocoran data pada 24 Juni 2021, hanya untuk perusahaan pada awalnya menutup kasus ini, mengutip perilaku itu “dengan desain” tetapi kemudian mengambil tindakan untuk memperingatkan pelanggan cloud pemerintah tentang masalah tersebut setelah laporan penyalahgunaan yang diajukan oleh perusahaan keamanan pada 15 Juli.

Mencegah Pelanggaran Data

Selain itu, Microsoft telah merilis alat yang disebut Pemeriksa Portal untuk mendiagnosis potensi paparan yang timbul dari alasan kesalahan konfigurasi dan telah membuat pembaruan sehingga “portal yang baru dibuat akan memiliki izin tabel yang diberlakukan untuk semua formulir dan daftar terlepas dari pengaturan Aktifkan Izin Tabel.”

“Meskipun kami memahami (dan setuju dengan) posisi Microsoft bahwa masalah di sini bukan sepenuhnya kerentanan perangkat lunak, ini adalah masalah platform yang memerlukan perubahan kode pada produk, dan dengan demikian harus berada dalam alur kerja yang sama dengan kerentanan,” catat para peneliti. .

“Ini adalah resolusi yang lebih baik untuk mengubah produk sebagai respons terhadap perilaku pengguna yang diamati daripada memberi label hilangnya kerahasiaan data secara sistemik sebagai kesalahan konfigurasi pengguna akhir, yang memungkinkan masalah untuk bertahan dan memaparkan pengguna akhir pada risiko keamanan siber dari pelanggaran data.”

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *