Halsey Andrews - Zespół badawczy Nokod Security odkrył lukę w zabezpieczeniach Power BI firmy Microsoft, która może mieć wpływ na wyciek danych. Może ona mieć wpływ na tysiące klientów.
- Luka udostępnia metadane modeli semantycznych użytkownikom, którzy nie mają uprawnień dostępu do tych danych.
Zespół badawczy ds. bezpieczeństwa w firmie Nokod Security odkrył poważną lukę w usłudze analizy biznesowej Power BI firmy Microsoft. Według doniesień luka ujawnia wrażliwe dane za pośrednictwem publicznie dostępnych raportów usługi Power BI, stwarzając znaczne zagrożenie bezpieczeństwa dla organizacji korzystających z tego narzędzia do raportowania i wizualizacji danych.
Według zespołu badawczego raporty usługi Power BI zostały przypadkowo skonfigurowane tak, aby były publicznie dostępne w Internecie. Dlatego każda osoba posiadająca adres URL raportu może uzyskać dostęp do danych bez pozwolenia.
Chociaż raporty można udostępniać partnerom zewnętrznym, tworzą one adres URL, który wyszukiwarki mogą indeksować po opublikowaniu w Internecie. Ułatwia to atakującym dostęp do takich raportów za pomocą prostych zapytań w wyszukiwarce, narażając na ryzyko takie informacje, jak dokumentacja finansowa, dane dotyczące własności, dane osobowe i wewnętrzne dane biznesowe.
Zobacz więcej: Raport federalny ujawnia kluczowe informacje na temat bezpieczeństwa dostępu do sieci
Atakujący mogą wykorzystać indeksowanie wyszukiwarek w celu zlokalizowania raportów publicznych i zmienić adresy URL, aby znaleźć inne raporty na tym samym serwerze, umożliwiając dostępne praktyki gromadzenia danych. Te wycieki danych mogą z kolei prowadzić do poważnych naruszeń danych, zagrażać prywatności użytkowników i postawić organizacje w niekorzystnej sytuacji wobec konkurencji ze względu na ujawnienie cennych informacji.
Microsoft odpowiedział na raport Nokod Security, stwierdzając, że zachowanie Power BI nie wynikało z luki w zabezpieczeniach, ale raczej z wyboru projektu. Firma Nokod zaleciła środki bezpieczeństwa, takie jak usuwanie ukrytych tabel i kolumn z raportu, używanie wyrażeń Power Query w celu ograniczenia dostępu do źródeł danych oraz wybieranie tylko niewrażliwych kolumn podczas przeglądania danych zagregowanych.
W raporcie podkreślono potrzebę podjęcia środków zapobiegawczych, takich jak przeglądy ustawień udostępniania, edukacja użytkowników, mechanizmy uwierzytelniania i częste audyty, aby zmniejszyć ryzyko przyszłego ujawnienia wrażliwych danych.
/cdn.vox-cdn.com/uploads/chorus_asset/file/25255990/246965_vision_pro_AKrales_0178.jpg)
