خبر

  • تک بورد - 38 میلیون پرونده بصورت آنلاین-از جمله اطلاعات ردیابی تماس ها-در معرض دید کاربران قرار گرفت

    38 میلیون پرونده بصورت آنلاین-از جمله اطلاعات ردیابی تماس ها-در معرض دید کاربران قرار گرفت
    22 روز و 20 ساعت قبل

    برنامه های قدرتمند پیکربندی نشده مایکروسافت منجر به قرار گرفتن در معرض آن شد.
    بیش از هزار برنامه وب به اشتباه 38 میلیون پرونده را در اینترنت باز ، از جمله داده های تعدادی از سیستم عامل های ردیابی تماس Covid-19 ، ثبت نام واکسیناسیون ، پورتال برنامه های کار ، و پایگاه های اطلاعاتی کارکنان این اطلاعات شامل طیف وسیعی از اطلاعات حساس از شماره تلفن و آدرس منزل افراد تا شماره های امنیت اجتماعی و وضع

    این حادثه شرکتها و سازمانهای عمده ای از جمله خطوط هوایی آمریکایی ، فورد ، شرکت حمل و نقل و تدارکات J.B. Hunt ، وزارت بهداشت مریلند ، اداره حمل و نقل شهرداری نیویورک و مدارس دولتی نیویورک را تحت تأثیر قرار داد. و در حالی که افشای داده ها از آن زمان مورد بررسی قرار گرفته است ، آنها نشان می دهند که چگونه یک تنظیمات بد پیکربندی در یک پلت فرم محبوب می تواند عواقب گسترده ای داشته باشد.

    https://techbord.com 38 میلیون پرونده بصورت آنلاین-از جمله اطلاعات ردیابی تماس ها-در معرض دید کاربران قرار گرفت داده های در معرض نمایش همه در سرویس پورتال Power Apps مایکروسافت ، یک پلت فرم توسعه که کار را آسان می کند ، ذخیره شد. ایجاد برنامه های وب یا تلفن همراه برای استفاده خارجی. اگر نیاز دارید به سرعت یک سایت ثبت نام برای واکسیناسیون را به سرعت در طول یک بیماری همه گیر گسترش دهید ، پورتال های Power Apps می توانند هم سایت عمومی و هم پشتوانه مدیریت داده ها را ایجاد کنند.

    از ماه مه شروع می شود ، محققان شرکت امنیتی Upguard شروع به تحقیق در مورد تعداد زیادی از پورتال های Power Apps کرد که اطلاعات عمومی را که باید خصوصی بودند به طور عمومی نشان می داد - از جمله در برخی از Power Apps که مایکروسافت برای اهداف خود ساخته است. هیچ یک از داده ها به خطر نیفتاده است ، اما این یافته هنوز قابل توجه است ، زیرا نشان می دهد که نظارتی در طراحی پورتال های Power Apps وجود دارد که از آن زمان ثابت شده است.

    تبلیغات

    علاوه بر مدیریت پایگاه های داده داخلی و با ارائه پایه ای برای توسعه برنامه ها ، پلت فرم Power Apps همچنین رابط های برنامه نویسی برنامه های آماده را برای تعامل با آن داده ها فراهم می کند. اما محققان Upguard متوجه شدند که هنگام فعال کردن این API ها ، این پلتفرم پیش فرض کرده است که داده های مربوطه را در دسترس عموم قرار دهد. فعال کردن تنظیمات حریم خصوصی یک فرآیند دستی بود. در نتیجه ، بسیاری از مشتریان با ترک پیش فرض ناامن ، برنامه های خود را اشتباه تنظیم کردند.

    "ما یکی از این موارد را پیدا کردیم که برای افشای داده ها اشتباه تنظیم شده بود و فکر می کردیم ، ما هرگز چنین چیزی نشنیده ایم ، آیا این یکی است؟ چیزی نیست یا این یک مسئله سیستمیک است؟ " گرگ پولاک ، معاون تحقیقات سایبری UpGuard می گوید. "به دلیل نحوه عملکرد محصول Power Apps ، انجام سریع نظرسنجی بسیار آسان است. و ما کشف کردیم که تعداد زیادی از آنها در معرض دید هستند. وحشی بود. ”

    انواع اطلاعاتی که محققان به آن دست یافتند بسیار گسترده بود. قرار گرفتن در معرض J.B. Hunt اطلاعات متقاضی شغل بود که شامل شماره های تامین اجتماعی بود. و خود مایکروسافت تعدادی پایگاه داده را در پورتال های Power Apps خود در معرض نمایش قرار داد ، از جمله یک پلت فرم قدیمی به نام "خدمات حقوق و دستمزد جهانی" ، دو پورتال "پشتیبانی ابزارهای تجاری" و یک پورتال "بینش مشتری".

    اطلاعات از جهات مختلف محدود بود. به عنوان مثال این واقعیت که ایالت ایندیانا دارای پورتال Power Apps بود ، به این معنا نیست که تمام داده هایی که این ایالت در اختیار دارد افشا شده است. فقط زیرمجموعه ای از داده های ردیابی تماس استفاده شده در پورتال Power Apps ایالت مورد استفاده قرار گرفت.

    پیکربندی نادرست پایگاه های داده مبتنی بر ابر در طول این سالها یک مسئله جدی بوده است و مقادیر زیادی داده را در معرض دسترسی یا سرقت نامناسب قرار داده است. به شرکت های بزرگ ابری مانند خدمات وب آمازون ، Google Cloud Platform و Microsoft Azure همگی از ابتدا اقدام به ذخیره خصوصی اطلاعات مشتریان به صورت پیش فرض کرده و پیکربندی های غلط احتمالی را مشخص کرده اند ، اما صنعت تا همین اواخر این موضوع را در اولویت قرار نداد.

    Advertisement

    پس از سالها مطالعه تنظیمات نادرست ابری و نمایش داده ها ، محققان Upguard از کشف این مسائل در پلتفرمی که قبلاً هرگز ندیده بودند شگفت زده شدند. Upguard تلاش کرد تا میزان مواجهه را مورد بررسی قرار دهد و تا آنجا که ممکن است سازمانهای آسیب دیده را مطلع کند. با این حال ، محققان نتوانستند به همه موجودات دسترسی پیدا کنند ، زیرا تعداد آنها بسیار زیاد بود ، بنابراین یافته ها را نیز به مایکروسافت فاش کردند. در ابتدای ماه آگوست ، مایکروسافت اعلام کرد که پورتال های Power Apps برای ذخیره خصوصی داده های API و سایر اطلاعات به طور پیش فرض عمل می کنند. این شرکت همچنین ابزاری را منتشر کرد که مشتریان می توانند از آنها برای بررسی تنظیمات پورتال خود استفاده کنند. مایکروسافت به درخواستی از WIRED برای اظهار نظر پاسخ نداد.

    در حالی که هر یک از سازمانهای درگیر این وضعیت می توانند خود به صورت نظری این مشکل را پیدا کنند ، Pollock UpGuard تأکید می کند که ارائه دهندگان ابر وظیفه دارند که امنیت و پیش فرض های خصوصی در غیر این صورت اجتناب ناپذیر است که بسیاری از کاربران داده ها را ناخواسته افشا کنند.

    این درسی است که کل صنعت به آرامی و گاهی دردناک باید آن را بیاموزد.

    "تنظیمات پیش فرض امن اهمیت دارد ،" می گوید Ken White ، مدیر پروژه Open Crypto Audit Project. وقتی الگویی در سیستم های رو به رو وب ظاهر می شود که با استفاده از فناوری خاصی ساخته شده اند و همچنان پیکربندی نادرست دارند ، چیزی بسیار اشتباه است. اگر توسعه دهندگان از صنایع مختلف و زمینه های فنی همچنان اشتباهات مشابهی را در یک پلت فرم انجام دهند ، باید توجه به سازنده آن پلتفرم معطوف شود. "

    بین اصلاحات مایکروسافت و اعلان های خود UpGuard ، پولک می گوید اکثر قریب به اتفاق پورتال های در معرض دید و همه حساس ترین آنها در حال حاضر خصوصی هستند. به ما کمک می کند تا همه آنها را ایمن کنیم. " "اما هیچ کس قبلاً این موارد را تمیز نکرده بود ، بنابراین احساس کردیم وظیفه اخلاقی داریم که حداقل حساس ترین موارد را قبل از اینکه بتوانیم در مورد مسائل سیستمیک صحبت کنیم ، تأمین کنیم."

    این داستان در ابتدا در wired.com.





خبرهای دیگر از فناوری اطلاعات