38 Juta Catatan, Termasuk Informasi Pelacakan Kontak, Diekspos Secara Online
Di zaman pengawasan dan pengumpulan data yang terus-menerus ini, meningkat dengan kedok perlindungan COVID akan menjadi semakin umum.
Power Apps Microsoft baru-baru ini salah dikonfigurasi dan ini mengakibatkan lebih dari seribu aplikasi online tersedia bagi siapa saja yang menemukannya.
Analis riset di Upguard, melalui Wired, menemukan bahwa lebih dari 38 juta catatan dari lebih dari seribu aplikasi web menggunakan platform portal PowerApps Microsoft dibiarkan online.
Dalam catatan tersebut, informasi termasuk alamat rumah, nomor telepon, nomor jaminan sosial, dan status vaksinasi diduga diambil dari upaya pelacakan kontak COVID-19, pendaftaran vaksin, dan database karyawan.
Departemen Kesehatan Maryland, American Airlines, Ford, J.B. Hunt, dan Otoritas Transportasi Metropolitan Kota New York termasuk di antara organisasi yang terkena dampak insiden tersebut. Terlepas dari kenyataan bahwa pelanggaran tampaknya telah diselesaikan, dengan kerentanan dari kesalahan konfigurasi yang terkendali, mereka menggambarkan bagaimana kesalahan yang tampaknya sederhana dapat memiliki hasil yang meluas.
Layanan portal PowerApps Microsoft, platform pengembangan yang memudahkan pembuatan aplikasi web atau seluler untuk penggunaan eksternal, menampung semua data yang terbuka.
Baik data yang diungkapkan maupun isinya belum diubah. Lebih dari 332.000 alamat email dan ID karyawan Microsoft yang digunakan untuk penggajian telah terungkap, menurut Upguard.
Dimungkinkan untuk menggunakan portal Power Apps untuk menawarkan halaman web yang dapat dilihat publik serta sistem manajemen untuk situs pendaftaran janji vaksinasi selama pandemi, misalnya. Selain nama dan alamat email individu, perusahaan mengklaim 39.000 catatan dari portal Microsoft Mixed Reality telah terungkap.
Menurut Upguard, pada 24 Juni, ia mengajukan laporan kerentanan ke Pusat Sumber Daya Keamanan Microsoft, yang menyertakan tautan ke akun portal Power Apps dengan data sensitif yang terbuka dan prosedur untuk menemukan API yang memungkinkan akses data anonim.
Data terkait dapat diakses publik secara otomatis saat peneliti mengaktifkan API ini. Karena itu, banyak pengguna salah mengonfigurasi aplikasi mereka dengan meninggalkan pengaturan default yang tidak aman.
Basis data berbasis cloud telah menjadi sumber bahaya utama selama bertahun-tahun karena kesalahan konfigurasi. Ini membuat sejumlah besar data rentan terhadap akses dan pencurian yang tidak sah. Industri telah bekerja untuk mengidentifikasi potensi kesalahan konfigurasi dan menjaga kerahasiaan data klien secara default di penyedia cloud utama, tetapi masalah tersebut tidak diprioritaskan hingga saat ini.
- Source : reclaimthenet.org
