Миллионы записей конфиденциальных данных оказались в открытом доступе из-за сбоя настроек этого популярного инструмента Microsoft

Многие организации создали веб-сайты с использованием Microsoft Power Pages, но могли раскрыть конфиденциальные данные

Миллионы записей конфиденциальных данных оказались в сети из-за неправильной настройки этого лучшего инструмента Microsoft

  • Исследователи из AppOmni обнаружили ошибку неправильной конфигурации на веб-сайтах, созданных с использованием Microsoft Power Pages
  • В результате данные миллионов людей оказались в сети.
  • В число пострадавших компаний входит Национальная служба здравоохранения Великобритании (NHS), которая призвала других немедленно провести расследование

Компании частного и государственного сектора раскрывают личную информацию миллионов людей (PII) из-за сбоя в платформе Microsoft для создания веб-сайтов.

Эксперты AppOmni выяснили, что утечка произошла из-за неправильных настроек Microsoft Power Pages. Power Pages — это платформа с низким кодом в составе Microsoft Power Platform, которая позволяет пользователям создавать веб-сайты, не становясь экспертами по программированию.

Однако на многих веб-сайтах произошла утечка «огромных объемов данных» из-за неправильно настроенных элементов управления доступом, которые предоставили анонимным ролям слишком много разрешений. Эта информация включает полное имя, адрес электронной почты, номер телефона и домашний адрес.

NHS среди пострадавших

Power Pages предназначен для бизнес-пользователей и разработчиков, которым необходимо создавать веб-сайты, интегрирующие бизнес-данные из таких источников, как Microsoft Dataverse, которая, как сообщается, имеет более 250 миллионов пользователей в месяц.

«В ходе моего исследования я обнаружил миллионы записей конфиденциальных данных, которые были доступны общедоступному Интернету только в рамках санкционированного тестирования», — заявили исследователи, предполагая, что масштаб утечки может быть гораздо больше (поскольку это так) был «обнаружен только в результате проверки авторизации»). Основной характер этих данных представляет собой внутренние файлы организации и конфиденциальные личные данные, принадлежащие пользователям внутри организации и другим пользователям, зарегистрированным на веб-сайте.

К ним относится Национальная служба здравоохранения Великобритании, которая предположительно слила конфиденциальную информацию более чем 1,1 миллиона сотрудников. Гигант здравоохранения с тех пор заткнул дыру. Исследователи не назвали имена других организаций, которые слили данные, возможно, потому, что дыры еще не закрыты.

Неправильная конфигурация базы данных является одной из основных причин утечки данных. За прошедшие годы во многих случаях организации хранили огромные объемы конфиденциальных файлов клиентов, не имея даже слабых паролей, не говоря уже о надежных паролях.

источник

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

error: Content is protected !!