مايكروسوفت مرة أخرى الدخول في ورطة حول أمن خدماتها. هذه المرة تم ترك حوالي 38 مليون بيانات من منصة Power App من Microsoft مفتوحة للجمهور لعدة أشهر. ويستند هذا على التطبيق السلطة وجود إعدادات الأمان الافتراضية ضعيفة.
أظهرت دراسة من شركة الأمن السيبراني UpGuard أن عددا من مستخدمي Power App لم يؤمنوا قواعد بياناتهم ، كما نقلت عنه Windows Central ، الثلاثاء 24 أغسطس.
وكشف مزيد من التحقيق أن تسرب البيانات جاء نتيجة لمنظمة تستخدم تطبيقات مايكروسوفت باور. يمكن استخدام النظام الأساسي لإنشاء مواقع ويب وإدارة البيانات ، ولكن إذا تم تكوينه بشكل خاطئ ، فقد يؤدي إلى مخاطر أمنية.
يمكن استخدام Power Apps لإدارة البيانات التي ترغب المؤسسات في نشرها، مثل موقع مراكز التطعيم، بالإضافة إلى البيانات التي يجب أن تظل خاصة، مثل أرقام الضمان الاجتماعي. الإعدادات الافتراضية لتطبيقات الطاقة تجعل البيانات متاحة للجمهور حتى آخر التغييرات من Microsoft
البيانات التي تركت مفتوحة جاءت من مصادر مثل الخطوط الجوية الأمريكية، فورد، المدارس العامة في نيويورك، والعديد من قواعد بيانات تعقب الاتصال COVID-19 الدولة.
"وجدنا واحدة من هذه التي تم تكوينها بشكل خاطئ لفضح البيانات واعتقدنا، لم نسمع من قبل عن هذا، هل هذه مشكلة لمرة واحدة أم أن هذه مشكلة نظامية؟ نظرا لكيفية عمل منتج بوابة Power Apps، فمن السهل إجراء الاستطلاعات بسرعة. وجدنا أن هناك الكثير من التعرض. لقد كان الأمر جامحا"، قال نائب رئيس قسم الأبحاث الإلكترونية في upguard غريغ بولوك.
بدأت UpGuard التحقيق في عدد كبير من بوابات تطبيقات الطاقة التي كان من المفترض أن تكون خاصة في مايو 2021 ، حتى التطبيقات التي أنشأتها Microsoft تم تكوينها بشكل خاطئ. ومع ذلك، وعلى الرغم من أنها مفتوحة للجمهور، فمن المعروف أنه لم يتم سرقة أي بيانات.
يكمن جوهر المشكلة في إعدادات الأمان الافتراضية. على سبيل المثال، عند إعداد تطبيق الطاقة وتوصيل واجهات برمجة التطبيقات، تجعل المنصة بشكل افتراضي البيانات ذات الصلة متاحة للجمهور. بفضل التحديث الذي تم في أغسطس، ستستخدم Power Apps الإعدادات الافتراضية لتأمين بقاء البيانات آمنة.
وتشمل البيانات المكشوفة العديد من منصات تتبع الاتصال COVID-19 وتسجيلات التطعيم وبوابات طلب العمل وقواعد بيانات الموظفين وأكثر من ذلك.
"بينما نحن نفهم (ونتفق مع) موقف Microsoft أن المشكلة هنا ليست مشكلة عدم حصانة برامج بالكامل، إلا أنها مشكلة نظام أساسي تتطلب تغييرات في التعليمات البرمجية للمنتج، وبالتالي يجب أن تكون في نفس سير العمل مثل مشكلة عدم الحصانة."
"هذا هو قرار أفضل لتغيير المنتج استجابة لسلوك المستخدم لوحظ من تسمية فقدان النظامية لسرية البيانات كما تكوين المستخدم النهائي، مما يسمح للمشاكل على الاستمرار وتعريض المستخدمين النهائيين لمخاطر الأمن السيبراني من خروقات البيانات."
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)
