Κοντά σε 40 εκατομμύρια δίσκοι διέρρευσαν μέσω ρυθμίσεων κακής ισχύος εφαρμογών

Οι ερευνητές ασφαλείας ανακάλυψαν ότι περίπου 38 εκατομμύρια αρχεία δεδομένων έχουν εκτεθεί στο διαδίκτυο. Η διαρροή δεδομένων προκλήθηκε από κακές ρυθμίσεις παραμέτρων των εφαρμογών Microsoft Power. Τα δεδομένα που διέρρευσαν περιλαμβάνουν πληροφορίες εμβολιασμού κατά Covid, μηνύματα ηλεκτρονικού ταχυδρομείου και αριθμούς κοινωνικής ασφάλισης.

Η Wired αναφέρει ότι τα δεδομένα που αποθηκεύονται από μεγάλες εταιρείες έχουν εκτεθεί στο διαδίκτυο. Τα ονόματα των οντοτήτων που διέρρευσαν αρχεία λόγω προβλημάτων διαμόρφωσης περιλαμβάνουν τα δημόσια σχολεία της πόλης της Νέας Υόρκης, το τμήμα υγείας της πολιτείας της Ιντιάνα, καθώς και τις American Airlines και τον κατασκευαστή οχημάτων Ford.

Η διαρροή διαπιστώθηκε από ερευνητές που συνεργάστηκαν με την εταιρεία ασφαλείας Upguard, οι οποίοι ξεκίνησαν την έρευνά τους πριν από μερικούς μήνες. Το τελικό αποτέλεσμα ήταν ότι τα διαρρέοντα δεδομένα, ενώ υποτίθεται ότι ήταν ασφαλή, ήταν δημόσια προσβάσιμα σε οποιονδήποτε στο διαδίκτυο.

Το ζήτημα προκλήθηκε από το γεγονός ότι τα Power App API κάνουν δεδομένα που συλλέγονται χρησιμοποιώντας το API δημόσια όταν χρησιμοποιούν τις προεπιλεγμένες ρυθμίσεις. Εάν ο κάτοχος της αντίστοιχης πύλης εφαρμογών θέλει να εξασφαλίσει σωστά αυτές τις πληροφορίες, θα χρειαστεί να διαμορφώσει εκ νέου το API και την εφαρμογή που χρησιμοποιείται για να κάνει τα δεδομένα ασφαλή και ιδιωτικά.

Οι ερευνητές που συμμετείχαν στην έρευνα ειδοποίησαν τη Microsoft σχετικά με το ζήτημα, στέλνοντας συνδέσμους στις συγκεκριμένες πύλες Power App που διέρευσαν δεδομένα. Κάπως μπερδεμένο, μετά από μια σύντομη ανταλλαγή με τη Microsoft, οι ερευνητές είπαν ότι το ζήτημα λύθηκε, καθώς αυτή η συμπεριφορά θεωρήθηκε ότι "σχεδιάστηκε".

Οι ερευνητές της Upguard συνέχισαν στη συνέχεια να επικοινωνήσουν με μεμονωμένες εταιρείες και οντότητες που επηρεάστηκαν από το προεπιλεγμένο πρόβλημα διαμόρφωσης. Μέσα σε λίγες ημέρες η συντριπτική πλειοψηφία των παρουσιών διαρροής Power Apps εξασφαλίστηκε σωστά και το ζήτημα όντως λύθηκε.

Η Microsoft βγήκε με μια δήλωση ότι τώρα όποιος χρησιμοποιεί τις πύλες Power Apps θα έχει τα δεδομένα που συλλέγει θα είναι ασφαλή και θα ορίζονται ως ιδιωτικά από προεπιλογή. Επιπλέον, η εταιρεία λογισμικού κυκλοφόρησε ένα ειδικό εργαλείο, σχεδιασμένο να βοηθά τους πελάτες να ελέγχουν εύκολα το απόρρητο των δεδομένων των Power Apps.

Δεν υπάρχουν πληροφορίες ή στοιχεία που να αποδεικνύουν ότι τα δεδομένα διαρροής έχουν διαγραφεί ή καταχρηστεί με άλλον τρόπο από κακόβουλους παράγοντες μέχρι στιγμής.

Το περιστατικό δεν έχει οδηγήσει σε κάτι που να πλησιάζει την καταστροφή δεδομένων, αλλά εξακολουθεί να δείχνει ότι ακόμη και μια απλή παρακολούθηση και εμπιστοσύνη στις προεπιλεγμένες ρυθμίσεις σε ένα εργαλείο που δεν γνωρίζετε εντελώς μπορεί να οδηγήσει σε πιθανούς κινδύνους και ζητήματα ασφάλειας δεδομένων.