38 juta catatan diekspos oleh Microsoft Power Apps yang salah dikonfigurasi. saran redmond? RTFM • Daftar

Empat puluh tujuh lembaga pemerintah dan perusahaan perlindungan data, termasuk Microsoft, telah membocorkan 38 juta catatan sensitif secara online dengan salah mengonfigurasi Power Apps raksasa Windows, layanan kode rendah yang menjanjikan cara mudah untuk membangun aplikasi tingkat profesional.

Perusahaan keamanan UpGuard mengatakan bahwa salah satu analisnya mengetahui pada bulan Mei bahwa API OData untuk portal Power Apps menawarkan entri database yang dapat diakses secara anonim dengan data pribadi. Itu mendorong toko keamanan untuk melihat portal Power Apps lainnya, dan penelitinya menemukan lebih dari seribu aplikasi yang dikonfigurasi untuk menyediakan data kepada siapa saja yang bertanya.

Perusahaan yang telah diidentifikasi UpGuard meliputi: lembaga pemerintah negara bagian dan lokal di Indiana, Maryland, dan New York City, serta perusahaan swasta seperti American Airlines, Ford, JB Hunt, dan Microsoft. Sejauh ini tidak ada bukti adanya penyalahgunaan informasi. Itu hanya tersedia untuk umum sampai pengungkapan UpGuard mendorong mereka yang terkena dampak untuk merespons.

Power Apps menyediakan cara bagi mereka yang bukan pemrogram profesional untuk membangun aplikasi bisnis khusus yang menggunakan data dari. untuk berinteraksi Microsoft Dataverse atau sumber data lokal dan online lainnya seperti SharePoint, Microsoft 365, Dynamics 365, SQL Server, dan sejenisnya. Dan melalui Portal Power AppsPelanggan Microsoft dapat membuat situs web publik untuk menyediakan data aplikasi mereka.

Situs web portal ini menarik data dari Power Apps melalui Open Data Protocol (OData) API. API menggunakan Daftar Power Apps, cara menampilkan daftar entri database. Daftar pada dasarnya adalah kueri terhadap tabel database tertentu, dikombinasikan dengan parameter dan atribut tambahan.

Seperti yang dijelaskan Microsoft dalam dokumentasinya, “Untuk mengamankan daftar, Anda harus mengonfigurasi izin tabel pada tabel yang catatannya sedang ditampilkan dan juga mengatur Izin Tabel Aktifkan Boolean ke true untuk catatan daftar.”

Namun, seperti yang ditemukan oleh peneliti UpGuard, banyak perusahaan tidak melakukannya dan membuat daftar portal Power Apps mereka dapat diakses oleh semua orang. Pada 24 Juni, UpGuard melaporkan hasilnya ke Microsoft.

“Contoh data sensitif yang diekspos melalui API OData adalah tiga portal Power Apps yang digunakan oleh lembaga pemerintah AS untuk melacak COVID-19 atau vaksinasi dan portal dengan data pemohon, termasuk nomor jaminan sosial,” kata UpGuard dalam sebuah entri blog. “Kami menyebutkan bahwa instans ini adalah contoh dari pola yang lebih luas, dengan sejumlah besar portal Power Apps yang dikonfigurasi untuk memungkinkan akses anonim ke daftar dan, sebagai hasilnya, mengekspos PII.”

Microsoft melihat laporan tersebut dan menyimpulkan bahwa kecenderungan perangkat lunaknya untuk mempublikasikan data tanpa perlindungan bukanlah masalah keamanan.

“Pada hari Selasa, 29 Juni, kasus ditutup dan analis Microsoft memberi tahu kami bahwa dia telah menentukan bahwa perilaku ini dianggap disengaja,” kata UpGuard.

Seperti yang mungkin dikatakan oleh salah satu pendiri Apple, Steve Jobs, empat puluh tujuh perusahaan yang membiarkan data mereka terbuka seharusnya, “hindari tetap seperti itu, “atau sebaiknya hindari menahan kontrol data daftar.

Dalam email ke Registri, juru bicara Microsoft menawarkan variasi tentang topik ini: “Produk kami menawarkan fleksibilitas dan fungsi perlindungan data kepada pelanggan untuk mengembangkan solusi skalabel yang memenuhi sejumlah besar persyaratan. Kami menganggap serius keamanan dan privasi dan mendorong pelanggan kami untuk menggunakan praktik terbaik saat mengonfigurasi. “Produk dengan cara yang paling memenuhi kebutuhan privasi mereka.”

Microsoft tetap mengambil langkah-langkah untuk menurunkan bilah keamanan ke tingkat yang lebih cocok untuk aplikasi kode rendah dengan memodifikasi portal Power Apps untuk mengaktifkan izin tabel secara default alih-alih mengasumsikan pengguna untuk keputusan keamanan. Perusahaan juga telah mengoptimalkan halaman dokumentasinya, the saran yang disajikan sebelumnya dalam kotak catatan ungu saat menambahkan peringatan peringatan merah muda: “Berhati-hatilah saat mengaktifkan umpan OData tanpa izin tabel untuk informasi sensitif.”

Beraninya kau menunjukkan kekurangan kami!

Hasil UpGuard tidak diterima secara universal: kepala petugas informasi negara bagian Indiana Tracy Barnes mengakui minggu lalu bahwa “data dari survei pelacakan kontak online COVID-19 negara bagian telah diakses secara tidak tepat,” menyarankan penemuan data yang dihasilkan dari aktivitas komersial UpGuard.

“Perusahaan yang mengakses data sengaja mencari kerentanan perangkat lunak dan kemudian mencoba berbisnis.” ditelepon Barnes.

UpGuard di posnya membantah tuduhan Barnes dan meminta Departemen Kesehatan Indiana untuk merilis tayangan ulang panggilan konferensi di mana UpGuard mendiskusikan temuannya dengan pejabat negara bagian.

“Dalam lima tahun pengiriman pemberitahuan pelanggaran data, UpGuard belum menghubungi Indiana atau perusahaan lain yang telah diberitahu tentang pelanggaran data, dan pernyataan Tuan Barnes tidak berdasar,” kata UpGuard.

Setelah pengungkapan awal ke Microsoft, UpGuard menemukan bahwa beberapa situs portal Power Apps milik Microsoft sendiri mengungkapkan data. Portal Layanan Penggajian Global, yang digunakan untuk memproses pertanyaan penggajian hingga dihentikan tahun lalu, memiliki 332.000 kontak terbuka dengan email Microsoft, nama lengkap, nomor telepon, ID karyawan, dan bidang data lainnya. Situasinya serupa dengan dua portal sehubungan dengan dukungan alat bisnis, tiga portal realitas campuran dan satu portal Azure China yang dioperasikan oleh 21Vianet.

Ini adalah solusi yang lebih baik untuk memodifikasi produk sebagai respons terhadap perilaku pengguna yang diamati daripada memberi label hilangnya kerahasiaan data secara sistemik sebagai kesalahan konfigurasi pengguna akhir

Registri meminta Microsoft untuk memberikan rincian lebih lanjut tentang pernyataan yang dikirim melalui email dan memberi tahu kami apakah perusahaan mengetahui bahwa data yang diungkapkan telah disalahgunakan. Microsoft menolak berkomentar lebih lanjut.

Sementara UpGuard memahami posisi Microsoft bahwa ini bukan kerentanan keamanan, itu mendukung perubahan kode yang meminimalkan jenis masalah ini.

“Memodifikasi produk sebagai respons terhadap perilaku pengguna yang diamati adalah solusi yang lebih baik daripada menggambarkan hilangnya kerahasiaan data secara sistemik sebagai kesalahan konfigurasi pengguna akhir yang meninggalkan masalah dan memaparkan pengguna akhir pada risiko keamanan siber dari pelanggaran data,” katanya dalam bisnis keamanan.

Di dalam Sebuah entri Menurut LinkedIn, Jukka Niiranen, salah satu pendiri Forward Forever, sebuah konsultan platform daya, membuat penilaian serupa.

“Setiap kali saya memperkenalkan pelanggan ke berbagai jenis Power Apps, saya mencoba menyampaikan pesan bahwa portal bukanlah sesuatu yang ingin Anda bangun dengan keahlian ‘pengembang warga’,” kata Niiranen. “Dunia kompleksitas di balik produk menakutkan bahkan bagi banyak veteran xRM seperti saya.” ®