[ad_1]

38 میلیون پرونده بصورت آنلاین از جمله اطلاعات ردیابی مخاطبین نمایش داده می شود

یورگ گرول گتی ایماژ

بیش از هزار برنامه وب به اشتباه 38 میلیون ورودی در اینترنت باز را کشف کرده اند که شامل داده های تعدادی از سیستم عامل های ردیابی تماس COVID-19 ، ثبت واکسیناسیون ، پورتال های درخواست کار و پایگاه های داده کارکنان است. این داده ها شامل طیف وسیعی از اطلاعات حساس است ، از شماره تلفن و آدرس منزل افراد گرفته تا شماره های امنیت اجتماعی و وضعیت واکسیناسیون علیه COVID-19.

این حادثه شرکت ها و سازمان های بزرگی از جمله خطوط هوایی آمریکا ، فورد ، شرکت حمل و نقل و تدارکات JB Hunt ، وزارت بهداشت مریلند ، اداره حمل و نقل شهرداری نیویورک و مدارس دولتی نیویورک را تحت تأثیر قرار داد. و در حالی که قرار گرفتن در معرض داده ها از آن زمان مورد بررسی قرار گرفته است ، آنها نشان می دهند که چگونه پیکربندی ضعیف در یک پلت فرم محبوب می تواند پیامدهای گسترده ای داشته باشد.

داده های کشف شده در سرویس پورتال Microsoft Power Apps ، یک پلت فرم توسعه که ایجاد وب یا برنامه های تلفن همراه برای استفاده خارجی را تسهیل می کند ، ذخیره شد. اگر نیاز دارید به سرعت یک سایت ثبت واکسن ایجاد کنید ، مثلاً در یک بیماری همه گیر ، پورتال های Power Apps می توانند یک سایت عمومی و یک پشتیبان مدیریت داده ایجاد کنند.

در اوایل ماه مه ، محققان شرکت امنیتی UpGuard شروع به تحقیق در مورد تعدادی از پورتال های Power Apps کردند که اطلاعات عمومی را که ظاهراً خصوصی بودند افشا می کردند – از جمله برخی از برنامه های قدرتمند که مایکروسافت برای اهداف خود ساخته است. مشخص است که هیچ یک از داده ها به خطر نیفتاده است ، اما این یافته هنوز قابل توجه است ، زیرا نقصی در طراحی پورتال Power Apps نشان می دهد ، که از آن زمان اصلاح شده است.

پلتفرم Power Apps علاوه بر مدیریت پایگاه های داده داخلی و ایجاد زمینه برای توسعه برنامه ها ، رابط های آماده ای را برای برنامه نویسی برنامه های کاربردی برای تعامل با این داده ها فراهم می کند. اما محققان UpGuard متوجه شدند که با فعال کردن این API ها ، پلتفرم پیش فرض داده های مربوطه را در دسترس عموم قرار داد. فعال کردن تنظیمات حریم خصوصی یک فرآیند دستی بود. در نتیجه ، بسیاری از مشتریان برنامه های خود را اشتباه تنظیم کرده اند و پیش فرض را ناامن کرده اند.

گرگ پولک ، معاون تحقیقات سایبری UpGuard گفت: “ما یکی از آنها را پیدا کردیم که برای نمایش داده ها به طور اشتباه پیکربندی شده بود و فکر می کردیم که هرگز در مورد آن نشنیده بودیم ، آیا این یک مشکل است یا یک مشکل سیستمیک است؟” “به دلیل نحوه عملکرد محصول پورتال Power Apps ، انجام تحقیقات سریع بسیار آسان است. و متوجه شدیم که تعداد زیادی از آنها وجود دارد. وحشی بود. “

انواع اطلاعاتی که محققان با آن روبرو شدند بسیار گسترده بود. قرار گرفتن در معرض JB هان داده های مربوط به متقاضیان کار ، از جمله شماره های تامین اجتماعی است. و خود مایکروسافت تعدادی پایگاه داده را در درگاه های Power Apps خود رونمایی کرده است ، از جمله یک پلت فرم قدیمی به نام Global Payroll Services ، دو پورتال پشتیبانی از ابزارهای کسب و کار و یک پورتال Customer Insights.

اطلاعات از جهات مختلف محدود بود. این واقعیت که ایالت ایندیانا ، به عنوان مثال ، در معرض یک پورتال Power Apps قرار گرفته است به این معنی نیست که تمام داده های ایالت فاش شده است. فقط زیرمجموعه ای از داده های ردیابی مخاطب مورد استفاده در پورتال دولتی Power Apps درگیر است.

پیکربندی نادرست پایگاه داده های ابری در طول این سالها یک مشکل جدی بوده و حجم وسیعی از داده ها در معرض دسترسی یا سرقت نامناسب قرار گرفته است. شرکت های بزرگ ابری مانند سرویس های وب آمازون ، Google Cloud Platform و Microsoft Azure تمام مراحل را برای ذخیره داده های پیش فرض مشتریان از ابتدا انجام داده و پیکربندی های غلط احتمالی را ذکر کرده اند ، اما صنعت تا همین اواخر این مشکل را در اولویت قرار نداده است.

پس از سالها مطالعه پیکربندی های نادرست ابری و افشای داده ها ، محققان UpGuard از یافتن این مشکلات در پلتفرمی که قبلاً ندیده بودند شگفت زده شدند. UpGuard سعی کرد نمایشگاه ها را مطالعه کرده و تا آنجا که ممکن است سازمان های آسیب دیده را مطلع کند. با این حال ، محققان نتوانستند به هر سایتی دسترسی پیدا کنند زیرا تعداد آنها بسیار زیاد بود ، بنابراین یافته های مایکروسافت را نیز فاش کردند. در اوایل آگوست ، مایکروسافت اعلام کرد که درگاه های Power Apps اکنون به طور پیش فرض برای ذخیره داده های API و سایر اطلاعات به صورت خصوصی استفاده می شود. این شرکت همچنین ابزاری را منتشر کرده است که مشتریان می توانند از آن برای بررسی تنظیمات پورتال استفاده کنند. مایکروسافت به درخواست WIRED برای اظهار نظر پاسخ نداد.

در حالی که سازمانهای فردی در موقعیت از لحاظ نظری می توانند خود مشکل را پیدا کنند ، Pollock UpGuard تأکید می کند که ارائه دهندگان خدمات ابری باید تنظیمات پیش فرض امن و خصوصی را ارائه دهند. در غیر این صورت ، اجتناب ناپذیر است که بسیاری از کاربران داده ها را ناخواسته افشا کنند.

این درسی است که کل صنعت مجبور شده است آن را به آرامی و گاهی دردناک بیاموزد.

کن وایت ، مدیر پروژه Open Crypto Audit می گوید: “تنظیمات پیش فرض امن اهمیت دارد.” “وقتی مدلی در سیستم های شبکه محور ظاهر می شود که با فناوری خاصی ساخته شده است و پیکربندی نادرست آن ادامه دارد ، چیزی بسیار اشتباه است. اگر توسعه دهندگان صنایع مختلف و تجربه فنی همچنان مرتکب اشتباهات یکسانی در پلتفرم شوند ، توجهات باید کاملاً متوجه خالق آن پلتفرم باشد. “

بین اصلاحات مایکروسافت و اعلان های خود UpGuard ، پولک می گوید اکثر پورتال های باز و همه حساس ترین آنها در حال حاضر خصوصی هستند.

وی گفت: “با سایر مواردی که ما روی آنها کار کرده ایم ، عمومی است که سطل های ابری می توانند اشتباه تنظیم شوند ، بنابراین ما موظف نیستیم به حفاظت از آنها کمک کنیم.” “اما هیچ کس تاکنون این موارد را تمیز نکرده است ، بنابراین ما احساس کردیم که وظیفه اخلاقی داریم که حداقل حساس ترین موارد را قبل از صحبت در مورد مشکلات سیستمیک ارائه دهیم.”

این داستان در ابتدا در wired.com ظاهر شد.

[ad_2]

منبع: tarjome-news.ir