38M Catatan Diungkapkan Secara Online—Termasuk Info Pelacakan Kontak


Lebih dari ribu aplikasi web keliru mengekspos 38 juta catatan di internet terbuka, termasuk data dari sejumlah platform pelacakan kontak Covid-19, pendaftaran vaksinasi, portal lamaran kerja, dan database karyawan. Data tersebut mencakup berbagai informasi sensitif, mulai dari nomor telepon dan alamat rumah hingga nomor jaminan sosial dan status vaksinasi Covid-19.

Insiden itu mempengaruhi perusahaan dan organisasi besar, termasuk American Airlines, Ford, perusahaan transportasi dan logistik JB Hunt, Departemen Kesehatan Maryland, Otoritas Transportasi Kota New York City, dan sekolah umum Kota New York. Dan sementara eksposur data telah ditangani, mereka menunjukkan bagaimana satu pengaturan konfigurasi yang buruk di platform populer dapat memiliki konsekuensi yang luas.

Data yang terekspos semuanya disimpan di layanan portal Power Apps Microsoft, sebuah platform pengembangan yang memudahkan pembuatan aplikasi web atau seluler untuk penggunaan eksternal. Jika Anda perlu menjalankan situs pendaftaran janji vaksin dengan cepat selama, katakanlah, pandemi, portal Power Apps dapat menghasilkan situs publik dan backend manajemen data.

Mulai bulan Mei, peneliti dari firma keamanan Upguard mulai menyelidiki sejumlah besar portal Power Apps yang mengekspos data publik yang seharusnya bersifat pribadi—termasuk di beberapa Power Apps yang dibuat Microsoft untuk tujuannya sendiri. Tak satu pun dari data diketahui telah dikompromikan, tetapi temuan itu tetap signifikan, karena mengungkapkan kekeliruan dalam desain portal Power Apps yang telah diperbaiki sejak saat itu.

Selain mengelola database internal dan menawarkan landasan untuk mengembangkan aplikasi, platform Power Apps juga menyediakan antarmuka pemrograman aplikasi siap pakai untuk berinteraksi dengan data tersebut. Tetapi para peneliti Upguard menyadari bahwa ketika mengaktifkan API ini, platform secara default membuat data yang sesuai dapat diakses publik. Mengaktifkan pengaturan privasi adalah proses manual. Akibatnya, banyak pelanggan salah mengonfigurasi aplikasi mereka dengan membiarkan default tidak aman.

“Kami menemukan salah satu dari ini yang salah dikonfigurasi untuk mengekspos data dan kami pikir, kami belum pernah mendengar tentang ini, apakah ini masalah sekali atau ini masalah sistemik?” kata Greg Pollock, wakil presiden penelitian siber UpGuard. “Karena cara kerja produk portal Power Apps, sangat mudah untuk melakukan survei dengan cepat. Dan kami menemukan ada banyak sekali yang terekspos. Itu liar.”

Jenis informasi yang ditemukan para peneliti sangat beragam. Eksposur JB Hunt adalah data pelamar kerja yang menyertakan nomor jaminan sosial. Dan Microsoft sendiri mengekspos sejumlah database di portal Power Apps-nya sendiri, termasuk platform lama yang disebut “Layanan Penggajian Global”, dua portal “Dukungan Alat Bisnis”, dan portal “Wawasan Pelanggan”.

Informasi itu terbatas dalam banyak hal. Fakta bahwa negara bagian Indiana, misalnya, memiliki eksposur portal Power Apps tidak berarti bahwa semua data yang dimiliki negara bagian tersebut terekspos. Hanya sebagian data pelacakan kontak yang digunakan di portal Power Apps negara bagian yang terlibat.

Kesalahan konfigurasi database berbasis cloud telah menjadi masalah serius selama bertahun-tahun, mengekspos sejumlah besar data ke akses yang tidak tepat atau pencurian. Perusahaan cloud besar seperti Amazon Web Services, Google Cloud Platform, dan Microsoft Azure semuanya telah mengambil langkah-langkah untuk menyimpan data pelanggan secara pribadi secara default sejak awal dan menandai potensi kesalahan konfigurasi, tetapi industri tidak memprioritaskan masalah tersebut hingga baru-baru ini.

Setelah bertahun-tahun mempelajari kesalahan konfigurasi cloud dan eksposur data, para peneliti Upguard terkejut menemukan masalah tersebut di platform yang belum pernah mereka lihat sebelumnya. Upguard berusaha untuk mensurvei eksposur dan memberi tahu sebanyak mungkin organisasi yang terkena dampak. Namun, para peneliti tidak dapat menjangkau setiap entitas, karena terlalu banyak, jadi mereka juga mengungkapkan temuan tersebut kepada Microsoft. Pada awal Agustus, Microsoft mengumumkan bahwa portal Power Apps sekarang akan secara default menyimpan data API dan informasi lainnya secara pribadi. Perusahaan juga merilis alat yang dapat digunakan pelanggan untuk memeriksa pengaturan portal mereka. Microsoft tidak menanggapi permintaan dari WIRED untuk memberikan komentar.

Diposting oleh : SGP Prize