بينها منصات تعقّب مرضى كورونا.. خلل في برمجية مايكروسوفت يكشف ملايين البيانات السرية

كانت بيانات ومعلومات شخصية عددها نحو 38 مليونًا، عرضة للخطر في وقت سابق من هذا العام بسبب خلل في تكوين برمجية من تصميم (مايكروسوفت) وتستخدمها شركات ومؤسسات متنوعة.

وتعود بعض هذه البيانات التي تعرضت للخطر بسبب خلل برمجية مايكروسوفت، لمنصات تعقب حالات الاتصال بالمصابين بفيروس كورونا.

وأصدرت شركة (أبغارد- UpGuard) المتخصصة في الأمن المعلوماتي أمس الاثنين تقريرًا عن تحقيق استغرق عدة أشهر عن هذا الموضوع.

وبيّن التحقيق أن ملايين الأسماء والعناوين وأرقام الهوية الضريبية وغيرها من المعلومات السرية أصبحت مكشوفة -ولكن لم تتعرض للاختراق- قبل حل المشكلة.

NEWS: Microsoft Power Apps leaked 38M records, including contact tracing info, from 47 entities including US states and several large businesses.https://t.co/nVn9JYRo6x

— UpGuard (@UpGuard) August 24, 2021

ومن الجهات الـ47 المعنية بهذه المشكلة شركات (أمريكان إيرلاينز وفورد وجي بي هانت) والهيئة الصحية في ماريلاند وإدارة المواصلات العامة في مدينة نيويورك.

وما يجمع هذه الجهات استخدامها برمجية (باور آبس) من مايكروسوفت التي تسهّل إنشاء مواقع الويب وتطبيقات الهاتف المحمول للتفاعل مع الجمهور.

وعلى سبيل المثال، إذا احتاجت مؤسسة ما إلى أن تستحدث بسرعة بوابة لحجز مواعيد للقاحات، توفر برمجية مايكروسوفت هذا الواجهة العامة وإدارة البيانات.

Our cyber researchers discovered 38 million records exposed online due to a misconfiguration in a Microsoft product. Huge data leak — the data exposed includes personal information relating to COVID-19 contact tracing and vaccination appointments. https://t.co/mZ9zyXQT8d

— Axel ✈️ (@HeyItsAxel17) August 23, 2021

ولم يكن تكوين البرمجية التلقائي يؤمّن بشكل مناسب حماية بيانات معينة، على ما أوضح باحثو “أبغارد” الذين أضافوا أن مايكروسوفت بادرت بفضل أبحاثهم “إلى إجراء تعديلات في بوابات باور آبس”.

وكشف باحثو شركة (أبغارد) أن تكوين البرمجية التلقائي لم يكن يؤمّن بشكل مناسب حماية بيانات معينة، حتى تاريخ يونيو/حزيران العام الجاري 2021.

وقال الباحثون إن مايكروسوفت بادرت “بفضل أبحاثهم، إلى إجراء تعديلات في بوابات برمجة باور آبس”.

Misconfigured #PowerApp exposed 38M Records Online
– #nocode/#lowcode is great only so long it is properly managed –
Hence why organizations should implement operational #M365 #Governance with @rencore to stay in control of what your makers are doing. https://t.co/FSyESOIVJe

— Matthias Einig (@mattein) August 24, 2021

وقال ناطق باسم شركة التكنولوجيا العملاقة “تساعد أدواتنا في تصميم حلول على نطاق واسع تلبي مجموعة متنوعة من الاحتياجات، نحن نأخذ الأمان والخصوصية على محمل الجد”.

وأضاف المتحدث” نشجع زبائننا على تكوين منتجات تلبي احتياجات الخصوصية لديهم على أفضل وجه” وأكدت المجموعة أنها تبادر إلى إبلاغ زبائنها عند اكتشاف مخاطر تسرب محتملة، لكي يتمكنوا من معالجتها.

لكن (أبغارد) اعتبرت أن من الأفضل تغيير البرمجية بناءً على كيفية استخدامها من الزبائن بدلاً من “النظر إلى القصور الواسع في خصوصية البيانات على أنه خطأ في التكوين من قبل المستخدم، مما يؤدي إلى استمرار المشكلة ويعرض الجمهور للخطر”.

Microsoft Power Apps misconfiguration exposes 38 million data records https://t.co/rlOHwCZu4L via @ZDNet & @ldignan @UpGuard #privatedata #dataleak #data #microsoft #microsoftpowerapps #misconfiguration #API #upguard

— Arnaud Vanderroost (@avdrst) August 24, 2021

لكن شركة (أبغارد) اعتبرت أن من الأفضل تغيير البرمجية بناءً على كيفية استخدامها من الزبائن بحسب ما ترى هذه الشركة المتخصصة في الأمن المعلوماتي.

وقالت إن ذلك يعد طريقة أفضل” بدلاً من النظر إلى القصور الواسع في خصوصية البيانات على أنه خطأ في التكوين من قبل المستخدم، مما يؤدي إلى استمرار المشكلة ويعرض الجمهور للخطر”.

ورأت أن “عدد الحسابات التي كانت المعلومات الحساسة فيها مكشوفة يُظهر أن المخاطر المرتبطة بهذه الخاصية لم تؤخذ في الاعتبار بشكل مناسب”.