Bir Microsoft yanlış yapılandırmasının 1.000’den fazla web uygulamasından gelen verileri açıkta bıraktığı bildirildi.
Araştırmacılara göre, Microsoft’un Power Apps portal platformunu kullanan bin web uygulamasının kuzeyinden yaklaşık 38 milyon kayıt çevrimiçi olarak açıkta bırakıldı. Kayıtların COVID-19 temaslı izleme çabalarından, aşı kayıtlarından ve ev adresleri, telefon numaraları, sosyal güvenlik numaraları ve aşı durumu gibi çalışan veri tabanlarından elde edilen verileri içerdiği söyleniyor .
Bazı büyük şirketler ve kurumlardan veriler göre, olayda ortaya çıkmıştır Wired , American Airlines, Ford, dahil Sağlık Indiana Bölümü ve New York devlet okulları. Güvenlik açığı büyük ölçüde çözüldü.
Güvenlik şirketi Upguard’dan araştırmacılar, Mayıs ayında konuyu araştırmaya başladı. Özel olması gereken birçok Power Apps portalından, nereye bakacaklarını bilen herkesin erişebileceği verilere ulaştılar.
Güç Apps hizmet sayesinde müşteriler kendi web ve mobil uygulamaları yapmak için yapmayı amaçlamaktadır. Geliştiricilerin topladıkları verilerle kullanmaları için uygulama programlama arayüzleri (API’ler) sunar. Ancak Upguard, bu API’lerin kullanılmasının Power Apps Portalları aracılığıyla elde edilen verileri varsayılan olarak herkese açık hale getirdiğini ve bilgileri gizli tutmak için el ile yeniden yapılandırmanın gerekli olduğunu buldu.
Upguard , hassas verilerin açığa çıktığı Power Apps portal hesaplarına bağlantılar ve verilere anonim erişim sağlayan API’leri belirleme adımları da dahil olmak üzere 24 Haziran’da Microsoft Güvenlik Kaynak Merkezi’ne bir güvenlik açığı raporu gönderdiğini söyledi . Araştırmacılar, sorunun nasıl yeniden oluşturulacağını netleştirmek için Microsoft ile birlikte çalıştı. Ancak bir Microsoft analisti firmaya 29 Haziran’da davanın kapandığını ve “bu davranışın tasarım gereği olarak değerlendirildiğini belirlediklerini” söyledi.
Upguard daha sonra verilerini kilitlemek için harekete geçen bazı etkilenen şirket ve kuruluşları bilgilendirmeye başladı. 15 Temmuz’da Microsoft ile bir kötüye kullanım raporu gündeme getirdi. 19 Temmuz’a kadar şirket , en hassas bilgiler de dahil olmak üzere söz konusu Power Apps portallarındaki verilerin çoğunun özel hale getirildiğini söylüyor .
Microsoft, bu hikaye ilk yayınlandıktan sonra bize şu ifadeyi verdi: ” Ürünlerimiz, müşterilere çok çeşitli ihtiyaçları karşılayan ölçeklenebilir çözümler tasarlamak için esneklik ve gizlilik özellikleri sağlar. Güvenlik ve gizliliği ciddiye alıyoruz ve müşterilerimizi en iyi şekilde kullanmaya teşvik ediyoruz. ürünleri gizlilik ihtiyaçlarını en iyi şekilde karşılayacak şekilde yapılandırırken uygulamalar.”
Bu ayın başlarında Microsoft , geliştiriciler API’leri kullandığında Power Apps portal uygulamalarının verileri varsayılan olarak gizli tutacağını söyledi . Ayrıca, geliştiricilerin ayarlarını kontrol etmeleri için bir araç yayınladı .
Henüz açığa çıkan verilerden herhangi birinin güvenliğinin ihlal edildiğine dair bir belirti yok. Upguard’a göre, açıkta kalan en hassas bilgiler arasında 332.000 e-posta adresi ve bordro için kullanılan Microsoft çalışan kimlikleri vardı. Şirket ayrıca, kullanıcıların adları ve e-posta adresleri de dahil olmak üzere Microsoft Karma Gerçeklik ile ilgili portallardan 39.000’den fazla kaydın ifşa edildiğini söylüyor.
Olay, ne kadar küçük görünürse görünsün yanlış bir yapılandırmanın ciddi veri ihlallerine yol açabileceğinin altını çiziyor. Neyse ki burada durum böyle görünmüyor. Yine de, geliştiricilerin, özellikle de kendilerinin tasarlamadıkları bir API’yi takarken, ayarlarını muhtemelen üç kez kontrol etmeleri gerektiğini gösteriyor.
Kaynak:engadget.com
