Um pesquisador de segurança culpou o uso mal preparado do Microsoft Power Pages por uma série de violações de dados de portais da web – incluindo o vazamento de 1,1 milhão de registros de funcionários do NHS.
É a última descoberta do pesquisador de segurança Aaron Costello, com sede em Dublin, que descobriu anteriormente que a saúde e os dados pessoais de mais de um milhão de cidadãos foram acidentalmente expostos pelo local de vacinação HSE Covid-19 da Irlanda.
Como Costello explicou em uma postagem no blog, controles de acesso mal configurados no Power Pages – um sistema de software como serviço (SAAS) da Microsoft usado para ajudar a desenvolver portais da web – expõem dados confidenciais a usuários não autorizados e desconhecidos.
Entre as poucas organizações afetadas está o NHS, onde um contratante terceirizado modificou e publicou um site que vazou registros confidenciais da folha de pagamento – como nomes, endereços de e-mail, números de telefone e endereços residenciais.
“Muitas vezes, o que vemos nas organizações comunitárias é que elas encontram a necessidade de um serviço específico, um serviço essencial, sejam consultas da Covid ou informações sobre a folha de pagamento do pessoal do NHS, e correm para colocar isso em funcionamento”, disse Costello. ele disse Notícias de última hora.ie“A segurança está retrocedendo.”
Embora o NHS tenha chegado às manchetes, compreensivelmente, Costello diz que o bug expôs dados de organizações em todo o mundo, incluindo agências governamentais, e outros dados vazados, incluindo arquivos internos de organizações que usam a plataforma, bem como usuários externos registrados na web afetada. portais Segundo Costello, o problema ocorreu porque os administradores do portal não conseguiram entender corretamente como configurar os controles de acesso das páginas Power e deixaram os dados. sensível é exposto por meio de APIs.
Parece absurdo culpar inteiramente a Microsoft, desenvolvedora do Power Pages, pelo problema, já que, nas palavras de Costello, eles fazem “um bom trabalho ao colocar esses banners e sinais de aviso em seu painel de administração no Power Pages”.
O problema, em vez disso, parece ser o fato de os administradores de sites não perceberem as consequências de suas escolhas de edição – deixando informações confidenciais acessíveis a qualquer pessoa na Internet.
O desafio de aplicativos criativos como o Power Pages é criar um produto que seja fácil de usar, mas ainda assim difícil de usar de maneira incorreta ou insegura.
Costello diz que notificou todas as organizações que obtiveram os dados vazados por meio de sites mal configurados e que agora eles foram corrigidos.
