تم العثور على 38 مليون سجل معرضة للخطر وللكشف على الإنترنت، مخزنة عبر مئات من بوابات التطبيق Microsoft Power Apps. تضمن كنز البيانات مجموعة متنوعة من معلومات التعريف الشخصية (PII) تتراوح من الأسماء وعناوين البريد الإلكتروني وصولا إلى أرقام الضمان الاجتماعي.
أوضحت شركة UpGuard في إحدى المدونات: “تباينت أنواع البيانات بين البوابات، بما في ذلك المعلومات الشخصية المستخدمة لتتبع حالات ومواعيد التطعيمات المتعلقة بكوفيد-19، وأرقام الضمان الاجتماعي للمتقدمين للوظائف، ومعرفات الموظفين، وملايين الأسماء وعناوين البريد الإلكتروني” بعد تفصيل اكتشافه.
إذا وقعت البيانات في الأيدي الخطأ، فقد يتم إساءة استخدامها من قبل مجرمي الإنترنت في جميع أنواع الأنشطة الغير مشروعة، بدءًا من التصيد الاحتيالي وهجمات الهندسة الاجتماعية الأخرى وصولاً إلى سرقة الهوية. ويمكن أن ينتهي الأمر ببيع البيانات على شبكة الإنترنت المظلمة.
تم العثور على تسريبات البيانات المتعددة التي تم اكتشافها والإبلاغ عنها من قبل الباحثين من بوابات Microsoft Power Apps التي تم تكوينها للسماح بالوصول العام لبيانات محددة. بوابات التطبيق Microsoft Power Apps هي أداة تسمح لأي شخص بإنشاء مواقع ويب وتطبيقات للأعمال سريعة وتمنح المستخدمين وصولاً آمنًا داخليًا وخارجيًا إلى البيانات إما بشكل متاح للعامة أو باستخدام موفري المصادقة التجارية.
وللتوضيح أكثر، كانت المشكلة الرئيسية هي أنه بدلاً من بقاء بعض أنواع البيانات مخفي مثل معلومات التعريف الشخصية (PII)، أدى الخطأ في التكوين إلى إتاحتها للجمهور. أوضحت UpGuard: “في حالات مثل صفحات التسجيل الخاصة بلقاحات كوفيد-19، هناك أنواع البيانات التي يجب أن تكون عامة، مثل مواقع أماكن التطعيم والمواعيد المتاحة، والبيانات الحساسة التي يجب أن تكون خاصة، مثل معلومات التعريف الشخصية للأشخاص الذين يتم تطعيمهم تم إتاحتها كبيانات العامة”.
وإجمالاً، تأثرت 47 مؤسسة وشركة وهيئة حكومية من جميع أنحاء الولايات المتحدة الأمريكية. تشمل القائمة شركة الخطوط الجوية الأمريكية وشركة فورد لصناعة السيارات وشركة الخدمات اللوجستية جي بي هانت ووزارة الصحة بولاية ماريلاند وهيئة النقل البلدية بمدينة نيويورك ومدارس مدينة نيويورك وحتى شركة مايكروسوفت نفسها.
اكتشفت UpGuard لأول مرة بوابة تطبيق Power Apps التي تحتوي على قائمة غير آمنة مع معلومات التعريف الشخصية في 24 مايو. واصلت الشركة إخطار صاحب التطبيق وتم تأمين البيانات. ورغم ذلك، أثارت القضية تساؤلات حول ما إذا كان هناك المزيد من البوابات التي توفر الوصول إلى كم من البيانات الحساسة عرضة لخطر الكشف. وجد تحليل أن هناك العديد من بوابات Power Apps التي من المحتمل أن تخزن معلومات حساسة.
في 24 حزيران (يونيو)، قامت الشركة باخطار مايكروسوفت عن طريق تقديم تقرير عن الثغرات الأمنية إلى مركز موارد الأمن الخاص بها. بالإضافة إلى التواصل مع عملاق التكنولوجيا Redmond، قامت UpGuard أيضًا بإخطار المنظمات التي اعتبروها أنها تعرضت لأشد حالات التعرض للمخاطر.
وفي نفس الوقت واستجابةً للحادث، اتخذت مايكروسوفت خطوات لمعالجة الموقف من خلال إطلاق أدوات تسمح للمستخدمين بالتشخيص الذاتي لبواباتهم وتمكين أذونات الجدول افتراضيًا، مما يحد من الوصول إلى قائمة البيانات التي يمكن للمستخدم رؤيتها.
ليست بمشكلة جديدة
يمكن اعتبار قواعد البيانات التي تم تكوينها بشكل خاطئ وغير مؤمنة التي تواجه الإنترنت مشكلة دائمة، خلال العام الماضي كانت هناك تقارير عن العديد من هذه الحوادث. في إحدى الحالات الحديثة، تم الكشف عن الفحوصات الطبية لملايين المرضى عبر الإنترنت، في حين تضمن تسرب آخر للبيانات بيانات ملايين من نزلاء الفنادق. وقبل أيام فقط، ترك مركز فحص الإرهاب الذي يديره مكتب التحقيقات الفيدرالي (TSC) قائمة مراقبة سرية للإرهابيين غير آمنة على الإنترنت لمدة ثلاثة أسابيع.
التعليقات لا توجد تعليقات
لا توجد تعليقات
إضافة تعليق