Microsoft Power BI раскрывает пользовательские данные в Интернете

Исследователи кибербезопасности из группы Nokod обнаружили, что инструмент бизнес-аналитики Microsoft Power BI допускает утечку конфиденциальных данных таким образом, что их довольно легко извлечь.
Microsoft Power BI раскрывает пользовательские данные в Интернете

Microsoft Power BI раскрывает пользовательские данные в Интернете. Фото: Power BI

Исследователи заявили, что уязвимость затрагивает «десятки тысяч» организаций по всему миру и что злоумышленники могут использовать эту уязвимость для получения конфиденциальных данных, таких как информация о сотрудниках, клиентах, бизнесе и т.д.

Сообщается также, что можно получить доступ к защищенной медицинской и личной информации. Все это можно сделать онлайн и анонимно.

Каждый отчет Power BI построен на основе семантической модели, то есть всех данных, используемых для визуализации. Объект отчета определяет, какие данные и каким образом становятся видимыми в пользовательском интерфейсе. Теперь, когда пользователь делится объектом отчета с другими людьми, эти люди могут получить доступ ко всем базовым необработанным данным, представленным семантической моделью.

Другими словами, подробные записи данных, используемые для отображения агрегатов в пользовательском интерфейсе отчета, таблицы, которые включены в семантическую модель и вообще не отображаются в отчете (даже если эти таблицы явно помечены в модели как «скрытые»), неотображаемые столбцы таблиц, не видимые в пользовательском интерфейсе отчета (как подробные сведения или агрегаты, и даже если эти столбцы явно помечены как «скрытые» в модели), подробные записи данных таблиц, которые используются при отображении, даже если дисплей отфильтровывает эти записи, легко доступны и очень просто извлекаются.

Компания Nokod сообщила Microsoft о своих выводах, но в компании ответили, "что это не ошибка, а особенность". По словам представителя разработчика, вся ответственность за сохранность данных лежит на организациях, которые создают и публикуют отчеты. Они должны «создавать их таким образом, чтобы не раскрывать какую-либо конфиденциальную информацию».

Startpack подготовил список инструментов для защиты персональных данных и корпоративного коммерческого конфидента. Список включает в себя менеджеры, позволяющие хранить и управлять паролями от всевозможных сервисов, защищённые почтовые службы, шифрующие отправления, службы мониторинга безопасности сайтов, которые помогают вовремя отследить и предотвратить недружественные или зловредные действия. Отдельная категория инструментов — прокси и виртуальные защищённые комнаты для работы с документами.

Статьи по теме

Больше интересного

Актуальное

Разработчики улучшили синхронизацию между Календарем Google и сторонними календарями
Возможность добавлять и удалять группы Google в качестве участников пространства с помощью API Google Chat теперь общедоступна
Комментарии и действия в зашифрованных на стороне клиента документах Google теперь общедоступны
Ещё…