- Mer än 38 miljoner poster har läckt ut online på grund av att människor använder standardkonfigurationer i Microsoft Power Apps -portaler.
- Denna känsliga data som avslöjades lagrades alla i Microsofts Power Apps -portaltjänst, enligt forskare.
- Efter att ha aktiverat vissa API: er, var plattformen som standard att göra motsvarande data offentligt tillgänglig.
- Felkonfigurationen av molnbaserade databaser har varit ett allvarligt problem genom åren och utsatt stora mängder data för olämplig åtkomst eller stöld.
Som du vet är Power Apps Microsofts lågkodade plattform för organisationer för att snabbt utveckla fullvärdiga applikationer, mestadels för internt bruk, komplett med en frontend och en backend.
Det är verkligen ett kraftfullt verktyg som låter dig bygga appar, även om du inte är skicklig i programmering.
Även om Microsoft regelbundet uppdaterar Power Apps med nya funktioner och funktioner, kan en ny rapport orsaka oro för organisationer.
Det verkar som om över 38 miljoner poster har läckt ut online på grund av att människor använder standardkonfigurationer i Microsoft Power Apps -portaler.
Händelsen drabbade stora företag som American Airlines, Ford, transport- och logistikföretaget J.B. Hunt, Maryland Department of Health, New York City Municipal Transportation Authority och New York City public skolor.
Och medan dataexponeringarna har åtgärdats visar de hur en dålig konfigurationsinställning i en populär plattform kan få långtgående konsekvenser.
Kontaktspårningsinformation exponerad över internet
Data som avslöjades lagrades alla i Microsofts Power Apps -portaltjänst, som är en utvecklingsplattform som gör det enkelt att skapa webb- eller mobilappar för externt bruk.
Om du behöver snurra upp en registreringsplats för vaccinmottagningar snabbt under, säg, en pandemi, kan Power Apps-portaler generera både den offentliga webbplatsen och datahanteringsbackend.
Tillbaka i maj, forskare från säkerhetsföretaget Upguard började utreda ett stort antal Power Apps -portaler som offentligt avslöjade data som borde ha varit privata.
Bland dessa fanns några Power -appar som Microsoft tillverkade för sina egna ändamål.
Ingen av data är dock känd för att ha äventyrats, men fyndet är fortfarande viktigt, eftersom det avslöjar en övervakning i utformningen av Power Apps -portaler som sedan har åtgärdats.
Förutom att hantera interna databaser och erbjuda en grund för att utveckla appar, erbjuder Power Apps-plattformen också färdiga applikationsprogrammeringsgränssnitt för att interagera med data.
Felkonfiguration leder till sårbarhet
Forskarna från Upguard insåg att plattformen som standard aktiverade dessa API: er för att göra motsvarande data offentligt tillgänglig.
Aktivering av sekretessinställningar var en manuell process och som ett resultat av det har många kunder felkonfigurerat sina appar genom att lämna den osäkra standard.
Vi hittade en av dessa som var felkonfigurerad för att avslöja data och vi trodde att vi aldrig har hört talas om detta, är detta en engångsföreteelse eller är detta en systemfråga? På grund av hur Power Apps portals -produkten fungerar är det väldigt enkelt att snabbt göra en undersökning. Och vi upptäckte att det finns massor av dessa exponerade. Det var vilt.
Microsoft exponerade själv ett antal databaser i sina egna Power Apps -portaler, inklusive en gammal plattform som kallas Global Payroll Services, två Business Tools Support -portaler och en Customer Insights portal.
Felkonfigurationen av molnbaserade databaser har varit ett allvarligt problem genom åren och utsatt stora mängder data för olämplig åtkomst eller stöld.
Stora molnföretag som Amazon Web Services, Google Cloud Platform och Microsoft Azure har alla vidtagit åtgärder för att lagra kunders data privat som standard från början och flagga potentiella felkonfigurationer, men branschen prioriterade inte problemet förrän rättvist nyligen.
Upguard -forskarna kunde inte nå alla enheter, eftersom det var för många, så de avslöjade också resultaten för Microsoft.
Användare kan kontrollera sina portalinställningar med Microsofts verktyg
I början av augusti, Microsoft meddelade att Power Apps -portaler nu som standard lagrar API -data och annan information privat.
Redmond -företaget också släppt ett verktyg kunder kan använda för att kontrollera sina portalinställningar.
Men mellan Microsofts korrigeringar och UpGuards egna aviseringar säger experter nu att de allra flesta exponerade portalerna, och alla de mest känsliga, nu är privata.
Med andra saker som vi har arbetat med är det allmänt känt att molnskopor kan felkonfigureras, så det åligger oss inte att hjälpa till att säkra dem alla. Men ingen hade någonsin städat upp dessa innan, så vi kände att vi hade en etisk plikt att säkra åtminstone de mest känsliga innan vi kunde prata om systemfrågorna.
Vad tror du om hela situationen? Dela dina tankar med oss i kommentarfältet nedan.
