תצורה שגויה בכלי Power Apps של מיקרוסופט חשפה עשרות מיליוני רשומות

תצורה שגויה בכלי Power Apps של מיקרוסופט הביאה לחשיפתם של 38 מיליון רשומות. 

חוקרי חברת אבטחת המידע אפגארד מצאו כי השגיאה בתצורה הביאה לכך שבפלטפורמה של הענקית מרדמונד הוגדרו מאגרי מידע כ"זמינים ונגישים לציבור".

החוקרים הודיעו ל-47 ארגונים – גופי ממשל וארגונים – כי הנתונים שלהם חשופים. חלק מהמידע הגלוי כלל "מידע אישי המשמש לאיתור ומעקב אחר מגעים של אנשים (חולים, או בריאים, או מאומתים) עם נגיף הקורונה ועם נשאים שלו, תיעוד מפגשים לפני חיסון, מספרי ביטוח לאומי של מועמדים לעבודה, תעודות זהות ומיליוני שמות וכתובות דוא"ל".

Power Apps של מיקרוסופט היא פלטפורמת נתונים מרכזית, וכן חבילת כלים ושירותים, המאפשרות בניית יישומים המתממשקים לכל בסיסי הנתונים ושירותי הענן השונים. החבילה מאפשרת למכן תהליכים ארגוניים בצורה מהירה ב-Azure וב-365. חבילת הכלים והשירותים מספקת סביבת פיתוח מהירה לארגונים, לטובת בנייה של יישומים מותאמים אישית לצרכי הארגון. פורטלי Power Apps הם דרך ליצור אתרים ציבוריים, המעניקים למשתמשים פנימיים וחיצוניים גישה לנתונים.

בין הגופים שחשופים להדלפות הנתונים, נמנים ארגוני ממשל מקומיים בארה"ב כמו אינדיאנה, מרילנד והעיר ניו יורק. זאת, לצד חברות פרטיות כמו אמריקן איירליינס, JB Hunt וכן גם מיקרוסופט עצמה.

"למרות שאנו מבינים (ומסכימים עם) עמדת מיקרוסופט שהנושא כאן אינו מהווה פגיעות של תוכנה, הרי שמדובר בבעיית פלטפורמה הדורשת שינויים בקוד של המוצר. לכן, הבעיה שחשפנו כלולה תחת הכותרת של נקודות תורפה, וככזו עליה להיות מטופלת, כדי שלא לאפשר לבעיה להימשך ולחשוף את משתמשי הקצה לסיכון אבטחה ולחשיפת נתונים", אמרו החוקרים.

מיקרוסופט הודיעה לאפגארד כי הבעיה טופלה

החוקרים הסבירו כי הבעיה טמונה בממשקי ה-API של OData (ר"ת Open Data Protocol), המאחזרים נתונים מרשימות Power Apps, אשר אלה, בתורם, שולפים נתונים מהטבלאות ומגבילים את הרשאות הגישה לנתונים. כך, הסבירו "לא מעט פעמים לא מוגדרות תצורות והזנת OData מופעלת, ואז משתמשים אנונימיים יכולים לגשת לנתונים של הרשימות באופן חופשי. מספר החשבונות שחושפים נתונים רגישים משקף את הסיכון הכרוך בתכונה זו, ואת הסבירות לקביעת תצורה שגויה של הרשאות, שעד כה לא הוערכה במלואה". מומחי אבטחה הוסיפו כי "החששות גדלים, בהינתן שסקירות אבטחה שונות, אותן ערכו כמה מהגופים המושפעים מהבעיה – לא תפסו את ההגדרות השגויות הללו".

חוקרי אפגארד זיהו בראשונה את הבעיה ב-24 במאי וערכו ניתוח, כדי לקבוע עד כמה היא חמורה. לאחר מכן הם הגישו לענקית מרדמונד דו"ח פגיעות ב-24 ביוני. בסוף אותו חודש חוקרי מיקרוסופט הודיעו לעמיתיהם מ-אפגארד כי הבעיה טופלה. מיקרוסופט הודיעה ללקוחות הממשלתיים בענן שלה על בעיה זו, וגם שחררה כלי לבדיקת פורטלי Power Apps. החברה גם הודיעה כי היא מתכננת שינויים במוצר, כך שההרשאות ייאכפו כברירת מחדל.