Dati sensibili esposti: le vulnerabilità dei siti costruiti con Microsoft Power Pages

Dati sensibili esposti: le vulnerabilità dei siti costruiti con Microsoft Power Pages

Come le configurazioni errate espongono milioni di record, incluso quelli dell’NHS

Microsoft Power Pages è una piattaforma low-code utilizzata da organizzazioni pubbliche e private per creare siti web dati-driven con minimal coding requirements. Tuttavia, recenti ricerche hanno rivelato che queste piattaforme possono essere vulnerabili a dati sensibili esposti a causa di configurazioni errate. In questo articolo, esploreremo le vulnerabilità di Microsoft Power Pages e forniremo suggerimenti per migliorare la sicurezza dei siti costruiti con questa piattaforma.

Le Vulnerabilità di Microsoft Power Pages

Le ricerche condotte da Aaron Costello, capo della sicurezza SaaS di AppOmni, hanno rivelato che molte implementazioni di Microsoft Power Pages presentano configurazioni errate che espongono dati sensibili. Queste vulnerabilità possono essere attribuite a una combinazione di fattori, tra cui:

  • Accesso non autorizzato: La concessione di permessi eccessivi a utenti anonimi o non autenticati, permettendo loro di accedere a dati sensibili attraverso le API di Power Pages[1][2][5].
  • Configurazioni di accesso errate: La mancata configurazione corretta delle autorizzazioni di accesso, come l’assegnazione di ruoli errati o la concessione di accesso globale agli utenti anonimi[2][3][4].
  • Custom code in sicurezza: L’utilizzo di codice personalizzato non sicuro, che può esporre dati sensibili se non configurato correttamente[2][4].

Esempi di Dati Sensibili Esposti

Un esempio significativo è stato rilevato da Costello, dove un fornitore di servizi condivisi per l’NHS ha esposto i dati di oltre 1,1 milioni di dipendenti, inclusi indirizzi email, numeri di telefono e addirittura indirizzi di casa[1][2][5]. Questo tipo di dati è particolarmente sensibile e potenzialmente dannoso se caduto nelle mani sbagliate.

Come Funziona la Vulnerabilità

La vulnerabilità si manifesta principalmente attraverso le API di Power Pages. Quando le configurazioni di accesso non sono corrette, gli utenti anonimi possono accedere a tutte le colonne di un tavolo, esponendo dati sensibili come email, numeri di telefono e indirizzi[2][3][4]. Ad esempio, se un sito consente la registrazione pubblica e assegna accesso globale agli utenti anonimi, chiunque può accedere a tutti i dati del sito.

Suggerimenti per Migliorare la Sicurezza

Per evitare queste vulnerabilità, è essenziale che gli amministratori di siti costruiti con Microsoft Power Pages adottino una serie di misure di sicurezza:

  1. Audit delle Autorizzazioni:
    • Verificare le autorizzazioni di accesso a tutti i livelli, da quello del sito a quello delle colonne, assicurandosi che i permessi siano assegnati correttamente e che non ci siano concessioni eccessive[2][4].
    • Utilizzare il ruolo “Anonymous” solo quando necessario e evitare di assegnarlo a tavoli o colonne sensibili[5].
  2. Configurazione delle API:
    • Limitare l’accesso alle API solo agli utenti autenticati e configurare le autorizzazioni in modo da non esporre tutte le colonne di un tavolo[2][4].
    • Utilizzare la maschera dei dati per proteggere le colonne sensibili, come ad esempio gli indirizzi di casa, impedendo loro di essere visualizzate dagli utenti non autorizzati[3].
  3. Utilizzo di Codice Sicuro:
  • Evitare l’utilizzo di codice personalizzato non sicuro e preferire le funzionalità integrate di Power Pages per gestire l’autenticazione e l’autorizzazione[2][4].
  • Utilizzare strumenti di testing e pentesting per identificare e risolvere le vulnerabilità prima che siano esposte pubblicamente[2].
  1. Monitoraggio Continuo:
    • Implementare un sistema di monitoraggio continuo per rilevare eventuali misconfigurazioni e risolverle tempestivamente[2].
    • Utilizzare strumenti di sicurezza avanzati, come Burp Suite, per testare le vulnerabilità delle API e identificare potenziali problemi[3].
  2. Formazione e Consapevolezza:
    • Assicurarsi che gli amministratori e gli sviluppatori siano adeguatamente formati sulla gestione delle autorizzazioni e delle API in Power Pages.
    • Promuovere la consapevolezza sulla sicurezza tra tutti gli utenti del sistema, sottolineando l’importanza di una configurazione corretta delle autorizzazioni per evitare dati sensibili esposti[5].

Le vulnerabilità di Microsoft Power Pages rappresentano un problema significativo per le organizzazioni che utilizzano questa piattaforma per gestire i loro siti web. Tuttavia, con una serie di misure di sicurezza efficaci, è possibile ridurre drasticamente il rischio di dati sensibili esposti. Gli amministratori devono essere consapevoli delle configurazioni errate che possono esporre dati sensibili e adottare una strategia di monitoraggio continuo per garantire la sicurezza dei loro siti costruiti con Microsoft Power Pages.

Fonte: https://ciso2ciso.com/data-leaks-from-websites-built-on-microsoft-power-pages-including-1-1-million-nhs-records-source-www-bitdefender-com

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto