aizen_tt (aizen_tt) wrote,
aizen_tt
aizen_tt

Categories:

Цифровые системы делают людей совсем уж беззащитными

В результате утечки данных Microsoft обнаружено 38 миллионов записей, включая номера социального страхования, статус вакцинации и данные о Covid-19. Вот и все о "безопасных" системах.

Солнце пишет:

"Согласно сообщениям, личные записи 38 миллионов человек были случайно просочены в открытый Интернет из-за недостатка в более чем тысяче веб-приложений Microsoft.

American Airlines, Ford, JB Hunt, Министерство здравоохранения Мэриленда, Управление городского транспорта Нью-Йорка и государственные школы Нью-Йорка были среди компаний и организаций, пострадавших от ошибки.

Согласно отчетам, до 38 миллионов записей были случайно обнародованы.
1
Согласно отчетам, до 38 миллионов записей были случайно обнародованы.
По данным Wired, данные, ошибочно опубликованные в Интернете, включали информацию с нескольких платформ отслеживания контактов Covid-19, регистраций на вакцинацию, порталов приема на работу и баз данных сотрудников.

Обнаруженная конфиденциальная информация включала номера телефонов, домашние адреса, номера социального страхования и статус вакцинации против Covid-19.

Теперь проблема уязвимости данных решена, сообщает Wired.

Вся информация хранилась в портальной службе Microsoft Power Apps.

Портал - это платформа разработки, на которой можно создавать веб-приложения или мобильные приложения для внешнего использования.

Его можно использовать для создания общедоступного сайта для таких услуг, как подписка на вакцины, а также для создания базы данных информации для внутреннего использования.

Однако исследователи из охранной компании Upguard обнаружили, что в некоторых случаях серверная база данных была общедоступной и доступной для просмотра всем, кто мог ее найти.

В мае он начал расследование тысяч порталов Power App, на которых публично раскрывались данные, которые должны были быть личными.

Фирма обнаружила, что ошибка была сделана, когда готовые интерфейсы программирования приложений Power Apps использовались для взаимодействия с данными.

В отчете, опубликованном в понедельник, выяснилось, что когда API-интерфейс был включен для взаимодействия с данными, он автоматически становился общедоступным.

Настройки конфиденциальности можно было изменить вручную, но многие клиенты не знали об этом и оставили свои приложения по умолчанию, то есть собранные ими данные автоматически стали общедоступными.

«Мы обнаружили один из них, который был неправильно настроен для предоставления данных, и мы подумали, мы никогда не слышали об этом, это разовая проблема или это системная проблема?» Об этом Wired сообщил Грег Поллок, вице-президент UpGuard по кибер-исследованиям.

«Благодаря особенностям работы продукта порталов Power Apps очень легко быстро провести опрос. И мы обнаружили, что их очень много. Это было дико ».

НАСТРОЙКИ ОБНОВЛЕНЫ

Не предполагается, что какая-либо найденная информация уже была скомпрометирована хакерами, и с тех пор Microsoft исправила ошибку.

Сам технический гигант был пойман на уязвимости и раскрыл ряд баз данных через портал Power Apps.

Он включал старую платформу под названием «Global Payroll Services», два портала «Поддержка бизнес-инструментов» и портал «Customer Insights».

Дж. Б. Хант раскрыл номера социального страхования через базу данных заявлений о приеме на работу.

Штат Индиана предоставил некоторые данные по отслеживанию контрактов Covid.

Upguard сообщила, что пыталась связаться со всеми затронутыми организациями и компаниями, а затем в этом месяце передала свои исследования Microsft.

Ранее в августе компания объявила, что меняет стандартное значение для хранения данных API и другой информации в частном порядке.

Он также разработал инструмент, позволяющий клиентам проверять безопасность своего портала Power Apps.

«ТЕХНИЧЕСКИЕ КОМПАНИИ НЕОБХОДИМО ДЕЙСТВОВАТЬ»

Поллок сказал, что технологические компании должны предлагать безопасные и частные настройки по умолчанию, чтобы гарантировать, что утечки, подобные этой, не происходят в таком широком масштабе.

«Что касается других вещей, над которыми мы работали, общеизвестно, что облачные сегменты могут быть неправильно настроены, поэтому мы не обязаны защищать их все», - сказал он.

«Но никто никогда не убирал их раньше, поэтому мы чувствовали, что у нас есть этический долг - обезопасить, по крайней мере, наиболее чувствительные, прежде чем мы сможем говорить о системных проблемах».

«Безопасные настройки по умолчанию имеют значение, - сказал Wired Кенн Уайт, директор Open Crypto Audit Project.

«Когда в веб-системах, построенных с использованием определенной технологии, появляется шаблон, который по-прежнему неправильно конфигурируется, что-то очень не так.

«Если разработчики из разных отраслей и технических специалистов продолжают делать одни и те же ошибки на платформе, все внимание должно быть сосредоточено на создателе этой платформы»."

https://www.the-sun.com/tech/3525714/microsoft-power-apps-exposed-data-leaks/

В случае с бумажными носителями такой мощный хапок невозможен, но цифровые технологии иное дело. Главное надо знать - безопасных систем нет, особенно цифровых.
Tags: Цифровые технологии
Subscribe

Recent Posts from This Journal

Buy for 10 tokens
Buy promo for minimal price.
  • Post a new comment

    Error

    default userpic
    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 1 comment