SaaS Güvenlik firması AppOmni, Microsoft Power Pages’de ciddi veri ihlallerine yol açabilecek yanlış yapılandırmalar tespit etti. Hassas bilgilerin açığa çıkmasına neden olan yaygın sorunlar ve SaaS uygulamalarındaki verilerinizin nasıl korunacağı hakkında bilgi edinin.
Bir SaaS güvenlik şirketi olan AppOmni tarafından yakın zamanda yapılan bir keşif, ayda 250 milyondan fazla kişinin kullandığı düşük kodlu bir platform olan Microsoft Power Pages’de bir güvenlik açığını ortaya çıkardı. AppOmni’nin SaaS güvenlik araştırması şefi Aaron Costello, Hackread ile paylaşılan bir raporda bu sorunun, kamu ve özel sektördeki çeşitli kuruluşlarda “finansal hizmetler, sağlık hizmetleri, otomotiv ve daha fazlasını kapsayan” milyonlarca hassas veri kaydının açığa çıkmasına yol açtığını açıkladı. .com.
Araştırmacılara göre bu, e-posta adresleri, telefon numaraları ve ev adresleri de dahil olmak üzere 1,1 milyondan fazla NHS çalışanına ait bilgileri sızdıran Birleşik Krallık Ulusal Sağlık Hizmeti’ni (NHS) içeriyor.
Bu veri sızıntılarının temel nedeni, web portalları gibi Dataverse ile tümleşik uygulamalar geliştirmek için Power Pages içindeki yanlış yapılandırılmış erişim denetimlerinde yatmaktadır. Ancak özelleştirilebilir yapısı hassas verileri kamuya açık hale getirebilir.
Nasıl Olur?
Özel web siteleri oluşturmak için güçlü bir araç olan Power Pages, erişim kontrolüne yönelik katmanlı bir yaklaşıma dayanır. Buna site düzeyinde, tablo düzeyinde ve sütun düzeyinde izinler dahildir. Ancak kuruluşlar bu ayarları yanlış yapılandırdığında, hassas verileri istemeden genel internete maruz bırakırlar.
Kuruluşlar, Web API’sine gerekenden daha fazla sütun sunarak potansiyel saldırı yüzeyini artırabilir. Ayarlayarak gerçekleşebilir Webapi/ AppOmni blog yazısında, * değerine verilen değerin bir tablodaki tüm sütunlara erişime izin vererek hassas bilgileri savunmasız hale getirdiğini açıkladı.
Açık kaydın ve harici kimlik doğrulamanın etkinleştirilmesi, yetkisiz kullanıcıların hassas verilere erişmesine izin verebilir. Bunun nedeni, dağıtım sonrasında sitenin otomatik olarak kendi kendine kayıt olmasına ve varsayılan olarak oturum açmaya izin vermesidir, ancak bu sayfalar platformda görünmeyebilir. Kullanıcılar, ‘Kimliği Doğrulanmış Kullanıcılar’ın ‘Anonim Kullanıcılar’dan daha fazla izne sahip olduğu API’ler aracılığıyla kaydolabilir ve kimliklerini doğrulayabilir.
Bir diğer yaygın hata ise anonim kullanıcılara küresel erişim vererek herkesin hassas bilgileri görüntülemesine ve potansiyel olarak bu bilgilerden yararlanmasına izin vermektir. Tablo düzeyindeki izinler doğru şekilde yapılandırılmış olsa bile sütun güvenliğinin uygulanmaması, hassas sütunların açığa çıkmasına neden olabilir. Son olarak, veri maskeleme tekniklerinin kullanılmaması PII gibi hassas bilgilerin düz metin olarak açığa çıkmasına neden olabilir.
Aaron, “Bu riskler önemli; Microsoft Power Pages her ay 250 milyondan fazla kullanıcının yanı sıra finansal hizmetler, sağlık hizmetleri, otomotiv ve daha fazlasını kapsayan sektör lideri kuruluşlar ve devlet kurumları tarafından kullanılıyor” dedi.
“Kuruluşların dışarıya yönelik web sitelerini yönetirken güvenliğe öncelik vermesi ve SaaS platformlarında kullanım kolaylığını güvenlikle dengelemesi gerektiği açıktır; bunlar günümüzde gizli kurumsal verilerin büyük bir kısmını tutan uygulamalardır ve saldırganlar bunları kuruluşa giriş yolu olarak hedefliyor ağlar.”
NHS veri sızıntısının da gösterdiği gibi, bu yanlış yapılandırmaların sonuçları ciddi olabilir. Kuruluşlar, hassas bilgileri ifşa ederek itibarlarını zedeleme, yasal sonuçlarla karşı karşıya kalma ve sistemlerini potansiyel olarak başka saldırılara maruz bırakma riskiyle karşı karşıya kalır.
Bu güvenlik açığı aynı zamanda, özellikle hassas verilerle uğraşırken, SaaS uygulamalarındaki erişim kontrollerinin yanlış yönetilmesiyle ilişkili riskleri de gösterir. Kuruluşlar, günümüzde gizli kurumsal verilerin büyük bir kısmını barındıran SaaS platformlarında güvenliği yönetmek için uygun güvenlik önlemlerini almalıdır.
Ayrıca erişim kontrollerinin düzenli olarak denetlenmesi, hassas verilere erişimin sınırlandırılması, güçlü kimlik doğrulama ve yetkilendirme mekanizmalarının uygulanması ve ortaya çıkan güvenlik tehditleri ve güvenlik açıkları konusunda güncel bilgilere sahip olunması, veri ihlali riskini önemli ölçüde azaltabilir ve hassas bilgileri koruyabilir.
İLGİLİ KONULAR
- Nespresso Etki Alanı Microsoft Oturum Açma Bilgilerini Çalmak İçin Ele Geçirildi
- 250 milyon Microsoft kullanıcı desteği kaydı düz metin olarak sızdırıldı
- Microsoft Bookings Kusuru Hesabın Ele Geçirilmesine ve Kimliğe bürünülmesine olanak tanıyor
- Microsoft Bing sunucusu kullanıcı arama sorgularını ve konum verilerini sızdırdı
- Bilgisayar Korsanları Veri Çalmak İçin MacOS’taki Microsoft Teams’i Kullanabilir