Nokod研究团队的网络安全研究人员发现,微软的商业智能工具PowerBI正在以一种相当容易提取的方式泄露敏感数据。
Nokod在一篇详细介绍调查结果的博客文章中表示,该漏洞影响全球“数以万计”的组织,恶意行为者可能会利用该漏洞获取敏感数据,如员工、客户、企业和政府信息。
研究人员表示,受保护的健康信息(PHI)以及个人身份信息(PII)也可以被访问。所有这些都可以在线匿名进行。
易于利用
在描述这个问题时,Nokod表示,每份PowerBI报告都是建立在语义模型之上的,也就是用于可视化的所有数据。报告对象定义了哪些数据在UI中可见以及如何显示。现在,当用户与其他人共享报告对象时,这些人可以访问语义模型所代表的所有底层原始数据。
换句话说,用于在报表UI中显示聚合的详细数据记录、包含在语义模型中但根本不会在报表中显示的表(即使这些表在模型中明确标记为“隐藏”)、报表UI中不可见的表的非显示列(作为详细信息或聚合,即使这些列在模型中明确标记为“隐藏”)、用于显示表的详细数据记录,即使显示过滤掉了这些记录,所有这些都是可以访问的。更糟糕的是,Nokod表示提取这些数据“非常容易”。
他们表示:“这种行为会影响组织内部可访问的报告以及发布到网络上的报告”,并补充说,他们通过搜索引擎发现了大量可公开访问的报告,并能够从中提取敏感数据。
Nokod向微软通报了其发现,但这家雷德蒙德软件巨头表示这不是一个缺陷,而是一个功能。
“微软的立场是,我们发现的行为是一种设计选择,而不是漏洞,”研究人员表示。“因此,创建和共享报告的组织有责任以不泄露任何敏感信息的方式创建报告。”
研究人员表示,他们不同意微软的观点,并分享了一份帮助组织在创建报告时保护其数据的事项清单,以及一个免费的风险评估工具,这两款工具都可以在这里找到。