Ryzyko wycieku danych w usłudze Power BI

Ryzyko wycieku danych w usłudze Power BI

  • Zespół badawczy Nokod Security odkrył lukę w zabezpieczeniach Power BI firmy Microsoft, która może mieć wpływ na wyciek danych. Może ona mieć wpływ na tysiące klientów.
  • Luka udostępnia metadane modeli semantycznych użytkownikom, którzy nie mają uprawnień dostępu do tych danych.

Zespół badawczy ds. bezpieczeństwa w firmie Nokod Security odkrył poważną lukę w usłudze analizy biznesowej Power BI firmy Microsoft. Według doniesień luka ujawnia wrażliwe dane za pośrednictwem publicznie dostępnych raportów usługi Power BI, stwarzając znaczne zagrożenie bezpieczeństwa dla organizacji korzystających z tego narzędzia do raportowania i wizualizacji danych.

Według zespołu badawczego raporty usługi Power BI zostały przypadkowo skonfigurowane tak, aby były publicznie dostępne w Internecie. Dlatego każda osoba posiadająca adres URL raportu może uzyskać dostęp do danych bez pozwolenia.

Chociaż raporty można udostępniać partnerom zewnętrznym, tworzą one adres URL, który wyszukiwarki mogą indeksować po opublikowaniu w Internecie. Ułatwia to atakującym dostęp do takich raportów za pomocą prostych zapytań w wyszukiwarce, narażając na ryzyko takie informacje, jak dokumentacja finansowa, dane dotyczące własności, dane osobowe i wewnętrzne dane biznesowe.

Zobacz więcej: Raport federalny ujawnia kluczowe informacje na temat bezpieczeństwa dostępu do sieci

Atakujący mogą wykorzystać indeksowanie wyszukiwarek w celu zlokalizowania raportów publicznych i zmienić adresy URL, aby znaleźć inne raporty na tym samym serwerze, umożliwiając dostępne praktyki gromadzenia danych. Te wycieki danych mogą z kolei prowadzić do poważnych naruszeń danych, zagrażać prywatności użytkowników i postawić organizacje w niekorzystnej sytuacji wobec konkurencji ze względu na ujawnienie cennych informacji.

Microsoft odpowiedział na raport Nokod Security, stwierdzając, że zachowanie Power BI nie wynikało z luki w zabezpieczeniach, ale raczej z wyboru projektu. Firma Nokod zaleciła środki bezpieczeństwa, takie jak usuwanie ukrytych tabel i kolumn z raportu, używanie wyrażeń Power Query w celu ograniczenia dostępu do źródeł danych oraz wybieranie tylko niewrażliwych kolumn podczas przeglądania danych zagregowanych.

READ  TCL RayNeo Air 2 AR, najlepsze przenośne okulary do oglądania multimediów

W raporcie podkreślono potrzebę podjęcia środków zapobiegawczych, takich jak przeglądy ustawień udostępniania, edukacja użytkowników, mechanizmy uwierzytelniania i częste audyty, aby zmniejszyć ryzyko przyszłego ujawnienia wrażliwych danych.

najnowsze wiadomości

Halsey Andrews

„Lekarz gier. Fanatyk zombie. Studio muzyczne. Kawiarni ninja. Miłośnik telewizji. Miły fanatyk alkoholik.

Rekomendowane artykuły

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *