Pengaturan izin default yang tidak tepat mengungkap informasi identitas pribadi (PII) lebih dari 30 juta warga AS dari beberapa ratus portal, menurut keamanan cyber (terbuka di tab baru) peneliti.
Tim Riset UpGuard menemukan lebih dari seribu daftar yang dapat diakses secara anonim di beberapa ratus portal yang menyertakan detail sensitif seperti status vaksinasi Covid-19 individu, bersama dengan nomor telepon, alamat rumah, dan nomor jaminan sosial (SSN), dan banyak lagi.
Data bocor dari konfigurasi yang tidak benar PowerApps (terbuka di tab baru) portal, yang tidak hanya mengizinkan akses ke data publik seperti yang diharapkan, tetapi juga mengungkap data pribadi tanpa ada yang lebih bijak.
“Tim Riset UpGuard sekarang dapat mengungkapkan beberapa kebocoran data yang dihasilkan dari portal Microsoft PowerApps yang dikonfigurasi untuk memungkinkan akses publik – vektor baru paparan data,” kata para peneliti dalam laporan mereka. analisis kebocoran (terbuka di tab baru).
Fitur atau kesalahan konfigurasi?
Jenis informasi yang dapat diakses oleh para peneliti bervariasi dari satu organisasi ke organisasi berikutnya. Secara keseluruhan, para peneliti berhasil melihat data dari sekitar empat lusin entitas, termasuk badan pemerintah seperti Indiana, Maryland, dan New York City, dan perusahaan swasta seperti American Airlines, Ford, JB Hunt, dan banyak lagi.
Para peneliti percaya bahwa jumlah paparan yang mengejutkan menyoroti kekurangan Microsoft, karena gagal menyampaikan pengaturan default dan perilaku platform PowerApps dengan benar.
“Percakapan kami dengan entitas yang kami beri tahu menyarankan kesimpulan yang sama: beberapa badan pemerintah melaporkan melakukan tinjauan keamanan aplikasi mereka tanpa mengidentifikasi masalah ini, mungkin karena tidak pernah dipublikasikan secara memadai sebagai keamanan data (terbuka di tab baru) perhatian sebelumnya,” catat para peneliti.
Microsoft awalnya menolak pengungkapan UpGuard karena “ditentukan bahwa perilaku ini dianggap sebagai desain.”
Namun, saat UpGuard mulai menghubungi entitas yang terpengaruh, Microsoft mengambil beberapa langkah untuk membantu pelanggannya menghindari kebocoran data secara tidak sengaja. Misalnya, perusahaan kini telah merilis alat untuk memeriksa daftar yang memungkinkan akses anonim dan juga mengubah izin tabel default.
