foto1
Kolejna recenzja - Natec Alfama Ring Light
foto1
Kolejna recenzja - Natec Alfama Ring Light
foto1
Kolejna recenzja - Natec Alfama Ring Light
foto1
Kolejna recenzja - Natec Alfama Ring Light
foto1
Kolejna recenzja - Natec Alfama Ring Light
e-mail: blogotech@blogotech.eu
Phone: +48


Monitor Acer B248Y

Monitor do biura z wbudowaną kamerą

Więcej

Mysz Havit MS1021W

Świetnie wyprofilowana obudowa, proste oprogramowanie...

Więcej

Acer Spin 3

Unikalna konstrukcja komputera konwertowalnego.

Więcej

Xblitz S10 Duo

Kamera samochodowa rejestrująca obraz z przodu i z tyłu pojazdu.

Więcej

Kalendarz

Pn Wt Śr Cz Pt So N
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31

Podziel się ze mną swoimi uwagami na temat mojego bloga, co Ci się podoba, co Ci się nie podoba, jakie recenzje chciałbyś tu zobaczyć itp.

Kliknij mnie

 

Wyciek 38 milionów rekordów zaszczepionych przeciw COVID-19

Według specjalistów od bezpieczeństwa około 38 milionów rekordów z tysiąca aplikacji internetowych, które korzystają z platformy Power Apps firmy Microsoft, zostało ujawnionych online. Podobnno ujawnione rejestry zawierały dane z działań związanych ze śledzeniem kontaktów z COVID-19, rejestracje szczepionek i bazy danych pracowników, takie jak adresy domowe, numery telefonów i stan szczepień.

Najbardziej ucierpiały przede wszystkim firmy i instytucje amerykańskie w tym American Airlines, Ford, Indiana Department of Health i szkoły publiczne w Nowym Jorku. W większości przypadków luka, która doprowadziła do wycieku została załatana. Dziura została zlokalizowana już w maju. To wtedy specjaliści z firmy ochroniarskiej Upguard odkryli, że dane z wielu aplikacji stworzonych w Power Apps, które miały być prywatne, były dostępne dla każdego, kto wiedział, gdzie szukać.
Założeniem usługi Power Apps jest ułatwienie klientom tworzenia własnych aplikacji internetowych i mobilnych. Oferuje ona programistom gotowe interfejsy do aplikacji (API) do wykorzystania z gromadzonymi przez nich danymi. Firma Upguard stwierdziła jednak, że korzystanie z tych interfejsów powoduje, że dane uzyskane za pośrednictwem usługi Power Apps są domyślnie publiczne, i trzeba było ręcznej rekonfiguracji by zachować ich prywatność.
Upguard twierdzi, że 24 czerwca wysłał raport o luce w zabezpieczeniach do Microsoft Security Resource Center, w tym łącza do kont Power Apps, na których ujawniono poufne dane, oraz propozycję kroków mogących pomóc zidentyfikować te interfejsy API, które umożliwiły anonimowy dostęp do danych. Badacze współpracowali z firmą Microsoft, aby wyjaśnić, jak odtworzyć problem. Jednak analityk Microsoft powiedział firmie 29 czerwca, że sprawa została zamknięta i „ustalono, że to zachowanie jest uważane za zgodne z projektem”.
Upguard zaczął następnie powiadamiać niektóre z zaatakowanych firm i organizacji, które zmieniły narzędzia by zablokować swoje dane. 15 lipca ponownie zgłoszono problem do Microsoftu. Do 19 lipca firma twierdziła, że większość danych ze wskazanych usług Power Apps, w tym najbardziej poufne informacje, zostały utajnione.
Na początku tego miesiąca Microsoft poinformował, że błąd został naprawiony i Power Apps domyślnie zachowa prywatność danych, gdy programiści wykorzystają interfejsy API. Ponadto wydano narzędzie dla deweloperów do sprawdzania ustawień Power Apps.
Jak dotąd nic nie wskazuje na to, że którekolwiek z ujawnionych danych zostało gdzieś wykorzystane. Wśród najbardziej wrażliwych informacji, które pozostały otwarte, znalazły się 332 000 adresów e-mail i identyfikatory pracowników Microsoft, które są wykorzystywane do rozliczania płac – tak twierdzą specjaliści Upguard. Firma twierdzi również, że ujawniono ponad 39 000 rekordów z portali związanych z Microsoft Mixed Reality, w tym nazwy użytkowników i adresy e-mail.
Sytuacja pokazuje, że wystarczy błędna konfiguracja, nawet pozornie niewielka, by doprowadzić do poważnych naruszeń danych. Na szczęście wydaje się, że nikt nie ucierpiał. Mimo to programiści powinni trzykrotnie sprawdzić swoje ustawienia, zwłaszcza podczas podłączania interfejsu API, którego sami nie zaprojektowali.

Znajdziesz mnie:

Subscribe on YouTube