Badacze cyberbezpieczeństwa z zespołu Nokod Research odkryli, że Power BI, narzędzie analizy biznesowej firmy Microsoft, powoduje wyciek poufnych danych w sposób łatwy do wydobycia.
W poście na blogu szczegółowo opisującym ustalenia Nokod stwierdził, że luka dotyczy „dziesiątek tysięcy” organizacji na całym świecie i że złośliwi uczestnicy mogą wykorzystać tę lukę do przejęcia wrażliwych danych, takich jak informacje o pracownikach, klientach, firmach i rządzie.
Naukowcy twierdzą, że można uzyskać dostęp do chronionych informacji zdrowotnych (PHI), a także danych osobowych (PII). Wszystko to można zrobić online i anonimowo.
Łatwo to wykorzystać
Opisując problem, Knokod powiedział, że każdy raport Power BI zbudowany jest na modelu semantycznym, czyli na wszystkich danych wykorzystywanych do wizualizacji. Obiekt raportu określa, jakie dane będą widoczne w interfejsie użytkownika i w jaki sposób. Teraz, gdy użytkownik udostępnia obiekt raportu innym osobom, osoby te mają dostęp do wszystkich podstawowych metadanych reprezentowanych przez model semantyczny.
Innymi słowy, szczegółowe rekordy danych używane do wyświetlania agregatów w interfejsie raportu, tabele, które są uwzględnione w modelu semantycznym i w ogóle nie są wyświetlane w raporcie (nawet jeśli te tabele są wyraźnie oznaczone jako „ukryte” w modelu). Kolumny tabel, które nie są wyświetlane i nie są widoczne w interfejsie użytkownika raportu (jako szczegóły lub grupy, nawet jeśli te kolumny są wyraźnie zaznaczone na formularzu jako ukryte) oraz rekordy danych szczegółowych tabel używanych w widoku, nawet jeśli Zobacz filtry te rekordy, można uzyskać dostęp do tego wszystkiego. Co gorsza, Nokod twierdzi, że wyodrębnienie tych danych jest „bardzo łatwe”.
„To zachowanie wpływa na raporty dostępne w organizacji, a także raporty publikowane w Internecie” – stwierdzili, dodając, że znaleźli kilka raportów, które były publicznie dostępne za pośrednictwem wyszukiwarek i udało im się wydobyć z nich wrażliwe dane.
Firma Nokod zgłosiła swoje ustalenia firmie Microsoft, ale gigant oprogramowania z Redmond stwierdził, że nie jest to błąd, ale funkcja.
„Microsoft stoi na stanowisku, że wykryte przez nas zachowanie wynika z wyboru projektu, a nie luki w zabezpieczeniach” – stwierdzili naukowcy. „Dlatego obowiązkiem organizacji tworzących i udostępniających raporty jest tworzenie ich w sposób nieujawniający żadnych wrażliwych informacji”.
Badacze oświadczyli, że nie zgadzają się z firmą Microsoft i udostępnili listę rzeczy, które należy zrobić, aby pomóc organizacjom chronić swoje dane podczas generowania raportów, a także udostępnili bezpłatne narzędzie do oceny ryzyka, które można znaleźć tutaj. Tutaj.
More Stories
Ding! Christopher Ward ogłasza nowe Bel Canto
Najlepszą reklamą podczas wydarzenia Apple Mac była bezpłatna aktualizacja pamięci RAM dla MacBooka Air
Startup zajmujący się obserwacją Ziemi wychodzi z zapomnienia z 12 milionami dolarów