새로운 연구에 따르면 널리 사용되는 웹 도구의 잘못된 구성으로 인해 수천만 개의 데이터 기록이 유출되었습니다.

마이크로소프트 에너지 응용, 인기 있는 개발 플랫폼으로 조직이 대상 웹 사이트로 가득 찬 웹 응용 프로그램을 빠르게 만들고 관련 백엔드 데이터를 관리할 수 있습니다. 예를 들어 많은 정부에서 Power Apps를 사용하여 covid-19에 대한 접촉 추적 인터페이스가 무엇인지 빠르게 알아냈습니다.

그러나 잘못된 제품 구성으로 인해 많은 데이터 세트가 웹에서 대중에게 노출될 수 있습니다.

사이버 보안 회사 UpGuard의 연구원 최근에 발견 정부, 대기업, Microsoft를 포함하여 최대 47개의 서로 다른 엔터티가 데이터를 노출된 상태로 유지하도록 Power Apps를 잘못 구성했습니다.

이 목록에는 메릴랜드 및 인디애나 주 정부와 MTA와 같은 뉴욕시 공공 기관을 비롯한 일부 초대형 조직이 포함됩니다. 아메리칸항공과 운송·물류업체 JB헌트 등 대형 민간기업들도 유출 사고를 당했다.

UpGuard 연구원들은 유출된 데이터 세트에 다음을 포함한 많은 민감한 정보가 포함되어 있다고 썼습니다. COVID-19 연락처, COVID-19 예방 접종 약속, 구직자 사회 보장 번호, 직원 ID, 수백만 명의 이름과 이메일 주소를 추적하는 데 사용되는 개인 정보입니다.

연구원에 따르면 Microsoft 자체가 많은 Power Apps 데이터베이스를 잘못 구성하여 많은 양의 기록이 노출된 것으로 보입니다. 연구원들은 이러한 항목 중 하나가 “마이크로소프트의 글로벌 급여 서비스에 사용되는 332,000개의 이메일 주소 및 직원 ID 모음”을 포함하는 것으로 나타났습니다.

6월에 UpGuard는 Microsoft의 보안 리소스 센터에 연락하여 취약점에 대한 보고서를 제출하고 광범위한 문제에 대해 경고했습니다. 연구원들이 지적한 유출로 인해 총 3,800만 개의 레코드가 노출되었습니다.

UpGuard는 결국 Microsoft가 이 보안 문제를 적절하게 공개하지 않았으며 고객에게 잘못된 구성의 위험을 알리기 위해 더 많은 조치를 취해야 한다고 결론지었습니다. 연구자들은 다음과 같이 씁니다.

민감한 정보를 노출하는 계정의 수 … 이 기능의 위험(잠재력 및 영향)을 나타냅니다. 잘못된 구성충분히 평가되지 않습니다. 한편으로 제품 설명서는 애플리케이션이 이러한 방식으로 구성되는 경우 어떻게 되는지 정확하게 설명합니다. 반면에 경험적 증거는 기술 문서의 경고가 Power Apps 포털에 대해 OData 메뉴 피드를 잘못 구성하는 위험한 결과를 피하기에 충분하지 않음을 나타냅니다.

후속 UpGuard 공개, Microsoft 그 이후로 돌 제품의 보안을 강화하기 위한 Power Apps 관련 권한 및 기본 설정입니다.