Microsoft Power Pages è un’infrastruttura di creazione di siti web basata su codice low, utilizzata da oltre 250 milioni di utenti ogni mese. Tuttavia, recenti ricerche hanno rivelato che le misconfigurazioni nelle impostazioni di accesso di Power Pages possono esporre dati sensibili, mettendo a rischio milioni di registri.
Le Misconfigurazioni
Le misconfigurazioni più comuni che espongono dati sensibili includono:
- Accesso troppo permissivo: Alcune organizzazioni concedono troppi permessi agli utenti non autenticati, permettendo loro di accedere a dati che non dovrebbero vedere.
- Registrazione pubblica: L’abilitazione della registrazione pubblica può portare a un accesso troppo permissivo, poiché gli utenti registrati vengono trattati come utenti autenticati, con i relativi permessi.
- Accesso globale: La concessione di accesso globale agli utenti anonimi può permettere loro di accedere a tutte le righe di dati, indipendentemente dalla proprietà dei record.
- Manca di sicurezza delle colonne: Non utilizzare la sicurezza delle colonne per proteggere le informazioni sensibili può rendere queste ultime accessibili a utenti non autorizzati.
Un Caso Specifico
Un esempio significativo è stato rilevato da AppOmni, dove un fornitore di servizi condivisi per l’NHS ha esposto informazioni di oltre 1,1 milioni di dipendenti, inclusi indirizzi email, numeri di telefono e indirizzi di casa. Questo incidente è stato risolto dopo la scoperta, ma evidenzia la gravità delle misconfigurazioni.
Suggerimenti e Consigli
Per evitare queste esposizioni di dati sensibili, è necessario adottare una serie di misure di sicurezza:
- Revisione delle impostazioni di accesso:
- Verificare attentamente le impostazioni di accesso per assicurarsi che gli utenti anonimi non abbiano accesso troppo permissivo.
- Utilizzare il ruolo “Anonymous Users” solo quando necessario e limitare i permessi ad esso assegnati.
- Utilizzo della sicurezza delle colonne:
- Abilitare la sicurezza delle colonne per proteggere le informazioni sensibili.
- Utilizzare maschere per nascondere le colonne che contengono dati personali identificabili (PII) per gli utenti esterni.
- Controllo delle registrazioni pubbliche:
- Se l’accesso pubblico è necessario, assicurarsi che i permessi assegnati agli utenti registrati siano limitati e non includano accessi troppo permissivi.
- Verifica delle impostazioni di Web API:
- Assicurarsi che le impostazioni di Web API non espongano troppi dati sensibili.
- Verificare che le colonne accessibili agli utenti esterni abbiano le adeguate misure di sicurezza e maschere.
- Uso delle avvertenze di sicurezza:
- Prestare attenzione alle avvertenze di sicurezza presenti nel pannello di amministrazione di Power Pages e Power Platform.
- Utilizzare i banner di avvertimento per configurazioni potenzialmente pericolose e le icone di avvertimento per permessi che concedono “Accesso Globale” agli utenti anonimi.
- Collaborazione tra team di sviluppo e sicurezza:
- Promuovere una collaborazione stretta tra i team di sviluppo e sicurezza per garantire che le configurazioni di sicurezza siano corrette e aggiornate.
- Assicurarsi che i team di sviluppo comprendano le best practice di sicurezza e le avvertenze fornite da Microsoft.
Le misconfigurazioni in Microsoft Power Pages possono avere conseguenze gravi, esponendo dati sensibili a utenti non autorizzati. Per evitare questi rischi, è essenziale adottare una serie di misure di sicurezza, comprese la revisione delle impostazioni di accesso, l’utilizzo della sicurezza delle colonne, il controllo delle registrazioni pubbliche e la verifica delle impostazioni di Web API. Inoltre, prestare attenzione alle avvertenze di sicurezza fornite da Microsoft e promuovere una collaborazione stretta tra i team di sviluppo e sicurezza.
