3,800万人のマイクロソフトパワーアプリユーザーデータの原因が公に明らかに

マイクロソフトは、サービスのセキュリティに関して再び問題に直面しています。今回は、マイクロソフトのPower Appプラットフォームから約3,800万件のデータが数ヶ月間公開されたままでした。これは、弱いデフォルトのセキュリティ設定を持つ電源アプリに基づいています。

サイバーセキュリティ企業UpGuardの調査によると、8月24日(火曜日)にWindowsセントラルから引用したように、多くのPower Appユーザーがデータベースをセキュリティで保護していないことが示されました。

さらなる調査は、データ漏洩がMicrosoft Power Appsを使用している組織の結果として来たことを明らかにしました。プラットフォームを使用して Web サイトを作成し、データを管理できますが、構成が誤っている場合はセキュリティリスクが発生する可能性があります。

Power Apps を使用すると、組織が公開するデータ (予防接種センターの場所など) や、社会保障番号など、非公開にする必要があるデータを管理できます。Power Apps の既定の設定では、マイクロソフトからの最新の変更までデータにパブリックにアクセス可能

開いたままのデータは、アメリカン航空、フォード、ニューヨークの公立学校、およびいくつかの州COVID-19コンタクトトラッカーデータベースなどの情報源から来ました。

「データを公開するために誤って構成されたこれらの1つを発見し、私たちはこれを聞いたことがない、これは1回限りの問題なのか、それとも全身的な問題なのかと考えました。Power Apps ポータル製品の仕組みにより、調査をすばやく行うことができます。私たちは、多くの暴露があることがわかりました。「それは野生でした」と、アップガードサイバーリサーチVPグレッグ・ポロックが言いました。

UpGuardは、2021年5月に非公開になるはずの多数の電源アプリポータルの調査を開始しました。しかし、一般に公開されていますが、データが盗まれたことは知られていません。

問題の核心は、デフォルトのセキュリティ設定にあります。たとえば、Power App を設定して API を接続する場合、プラットフォームは既定で関連データをパブリックにアクセスできるようにします。8月のアップデートのおかげで、Power Appsはデフォルト設定を使用してデータが安全に保たれていることを保証します。

公開されるデータには、複数の COVID-19 連絡先追跡プラットフォーム、ワクチン接種登録、求人応募ポータル、従業員データベースなどが含まれます。

「マイクロソフトは、この問題が完全にソフトウェアの脆弱性であるというマイクロソフトの立場を理解する(そして同意する)が、それは、製品にコード変更を必要とするプラットフォーム上の問題であり、したがって、脆弱性と同じワークフローにある必要があります。

これは、データの機密性の全身的な損失をエンドユーザーの誤った構成としてラベル付けするよりも、ユーザーの行動に応じて製品を変更する方が良い解決策であり、問題が持続し、エンドユーザーがデータ侵害によるサイバーセキュリティリスクにさらされる可能性があります。