1,1 миллиона записей о сотрудниках NHS Великобритании были раскрыты из-за неправильной конфигурации Microsoft Power Pages

Более миллиона записей о сотрудниках NHS, включая адреса электронной почты, номера телефонов и домашние адреса, оказались в открытом доступе из-за неправильной настройки конструктора веб-сайтов с низким уровнем кода Microsoft Power Pages.

В сентябре исследователи платформы безопасности «программное обеспечение как услуга» AppOmni выявили крупного поставщика общих бизнес-услуг для Национальной службы здравоохранения, который допускал несанкционированный доступ к конфиденциальным данным с помощью небезопасных настроек разрешений на страницах Power Pages.

В частности, разрешения для некоторых таблиц и столбцов в Power Pages Web API были слишком широкими, что непреднамеренно предоставляло доступ «анонимным» пользователям или тем, кто не вошел в систему. С тех пор информация о неправильной конфигурации была передана в NHS и устранена.

Однако авторизованное тестирование AppOmni также выявило несколько миллионов других записей, принадлежащих организациям и государственным учреждениям, которые были раскрыты из-за тех же самых неправильных конфигураций.

Данные включают внутренние файлы и информацию компании, а также информацию зарегистрированных пользователей сайта, таких как клиенты. Такое раскрытие не только нарушает конфиденциальность пациентов, но и подвергает компании рискам соответствия, поскольку законы о конфиденциальности данных, такие как GDPR, требуют строгой защиты личной медицинской информации.

SEE: Исследование выявило проблемы с неправильной настройкой в ​​Google, Amazon и Microsoft Cloud

Аарон Костелло, руководитель отдела исследований безопасности SaaS в AppOmni, сообщил TechRepublic по электронной почте: «Эти уязвимости значительны — Microsoft Power Pages используют более 250 миллионов пользователей ежемесячно, а также ведущие отраслевые организации и государственные учреждения, охватывающие финансовые услуги, здравоохранение, автомобилестроение и многое другое.

«Открытие AppOmni подчеркивает значительные риски, связанные с неправильной настройкой контроля доступа в SaaS-приложениях: здесь была раскрыта конфиденциальная информация, включая персональные данные.

«Очевидно, что организациям необходимо уделять первостепенное внимание безопасности при управлении внешними веб-сайтами и находить баланс между простотой использования и безопасностью на платформах SaaS — именно эти приложения сегодня хранят большую часть конфиденциальных корпоративных данных, и злоумышленники используют их как способ проникновения в корпоративные сети».

Распространенные ошибки конфигурации Power Pages

В Power Pages администраторы указывают, какие пользователи могут получить доступ к различным элементам базового Dataverse сайта — уровня хранения данных Power Platform.

Одним из главных преимуществ использования Power Pages по сравнению с традиционной веб-разработкой является встроенный контроль доступа на основе ролей. Однако это удобство может также привести к самоуспокоенности технических групп.

AppOmni выявила следующие основные способы раскрытия бизнес-данных:

Разрешение открытой самостоятельной регистрации: это настройка по умолчанию при развертывании сайта, которая позволяет анонимным пользователям регистрироваться и становиться «аутентифицированными», типом пользователя, который обычно имеет больше разрешений. Даже если страницы регистрации не видны на платформе, пользователи все равно могут регистрироваться и становиться аутентифицированными через связанные API. Предоставление таблиц с «глобальным доступом» для внешних пользователей: если анонимным пользователям предоставлены разрешения «глобальный доступ» к определенной таблице, любой может просматривать строки. То же самое верно, если у аутентифицированных пользователей есть это разрешение и включена открытая саморегистрация. Невключение безопасности столбцов для конфиденциальных столбцов: даже если в таблице есть некоторые элементы управления доступом, злоумышленники могут обнаружить, что в некоторых столбцах отсутствует безопасность на уровне столбцов, что позволяет просматривать данные без ограничений. Безопасность столбцов часто не применяется последовательно, особенно в таблицах, где доступ настроен на более широком уровне. AppOmni утверждает, что это может быть связано с утомительным процессом настройки или тем фактом, что это не было предназначено для публики. Не заменять конфиденциальные данные замаскированными строками: это альтернатива применению безопасности на уровне столбцов, которая не будет мешать функциональности сайта. Отображение избыточных столбцов в Power Pages Web API: AppOmni часто видит, как организации разрешают извлекать все столбцы одной таблицы с помощью Web API, открывая больше информации, чем необходимо, для возможного раскрытия, если злоумышленник получит несанкционированный доступ.

Обеспечение безопасности вашего сайта Power Pages

Знайте предупреждающие знаки

Компания Microsoft включила несколько предупреждающих знаков для случаев обнаружения потенциально опасной конфигурации, в том числе:

Баннер на страницах консоли администратора Power Platform: предупреждает, что если сайт является общедоступным, любые внесенные изменения будут видны немедленно. Сообщение на странице конфигурации разрешений таблиц Power Page: сообщает администраторам, что данные, видимые для роли Anonymous, могут быть видны любому. Значок предупреждения на странице конфигурации разрешений таблиц Power Page: отображается рядом с любым разрешением, предоставляющим глобальный доступ анонимным пользователям.

Аудит контроля доступа

Администраторы Power Pages должны, в идеале, избегать предоставления чрезмерных уровней доступа внешним пользователям, анализируя настройки сайта, разрешения таблиц и разрешения столбцов. AppOmni предлагает пересмотреть то, как настроены следующие параметры:

Настройки сайта: А именно: Webapi/