سوء إعدادات الأمان في Microsoft Power Pages يهدد بيانات حساسة، مما يتطلب مراجعة وإجراءات أمان صارمة
تعد Microsoft Power Pages واحدة من أبرز منصّات تطوير المواقع الإلكترونية منخفضة الكود (SaaS)، المصمّمة لتبسيط إنشاء المواقع ودمج بيانات المؤسسات. ومع ذلك، أدى سوء إدارة إعدادات الأمان في هذه المنصة إلى تسرب واسع للبيانات الحساسة، وفقاً لتقرير حديث أصدرته شركة AppOmni.
مشكلة الإعدادات الخاطئة وتأثيرها
تكمن المشكلة الأساسية في منح أذونات وصول مفرطة إلى داخل النظام، مما يعرض بيانات حساسة مثل المعلومات الشخصية (PII) لخطر الوصول غير المصرّح به. وتشمل هذه البيانات معلومات الموظفين، الملفات الداخلية، وحتى البيانات الشخصية للمستخدمين. وأوضحت AppOmni بأن ملايين السجلات أصبحت قابلة للوصول عبر الإنترنت العام بسبب ضعف إدارة الضوابط الأمنية.
الأخطاء الرئيسية في إعدادات Power Pages
تعتمد Power Pages على نموذج التحكّم بالوصول المستند إلى الأدوار (RBAC) لتحديد مستويات وصول المستخدمين. ومع ذلك، أدى منح صلاحيات زائدة لبعض الأدوار، مثل "المستخدمين المجهولين" (زوار غير مسجّلين)، و"المستخدمين المصادق عليهم" (زوار مسجّلين)، إلى تعريض المؤسّسات لخطر تسرّب البيانات بشكل غير مقصود.
وفي بعض الحالات، تقوم الشركات بالسماح بالتسجيل العام للمستخدمين، مما يمكن المستخدمين غير الرسميين من الوصول إلى بيانات حساسة. على سبيل المثال، كشفت شركة AppOmni عن حادثة تعرض فيها أكثر من 1.1 مليون سجل لموظفي هيئة الخدمات الصحية الوطنية البريطانية (NHS)، تضمنت عناوين المنازل وأرقام الهواتف والبريد الإلكتروني، للاختراق.
حجم المخاطر
وفقاً لـ آرون كوستيلو، رئيس أبحاث أمان SaaS في AppOmni، فإن حجم هذه المخاطر كبير، إذ قال:
"تستخدم Microsoft Power Pages من قبل أكثر من 250 مليون مستخدم شهرياً، بمن في ذلك مؤسّسات كبرى، وجهات حكومية، في مجالات مثل الخدمات المالية والرعاية الصحية وصناعة السيارات. وقد أظهر اكتشافنا المخاطر الكبيرة الناتجة عن إعدادات التحكم بالوصول غير المناسبة في تطبيقات SaaS" .
أفضل الممارسات لتأمين إعدادات Power Pages
لمواجهة هذه التحديات، أشار كوستيلو إلى أهمية إعطاء الأولوية للأمان عند إدارة المواقع الإلكترونية التي تواجه الجمهور الخارجي، وشدد على ضرورة تحقيق التوازن بين سهولة الاستخدام ومستوى الأمان، خاصةً أن هذه التطبيقات تحتوي على معظم البيانات السرية للشركات اليوم، مما يجعلها هدفاً رئيسياً للهجمات الإلكترونية.
لضمان أمان نشرات Power Pages، يُوصى بما يأتي:
1. مراجعة الأذونات بعناية:
ـ مراجعة إعدادات المواقع والجداول والأعمدة لضمان حماية البيانات الحساسة.
ـ التأكد من أن الحقول المهمة لا يمكن الوصول إليها إلا من قبل المستخدمين المصرح لهم.
2. تطبيق نهج متعدد الطبقات:
ـ البدء بإعدادات الأمان على مستوى الموقع.
ـ معالجة أذونات الجداول الفردية.
ـ التحقق من أذونات الأعمدة التي تحتوي على بيانات حساسة.
3. الاستفادة من ميزات الأمان المدمجة:
ـ استخدام خيارات أمان الأعمدة وتقنيات إخفاء البيانات المتوافرة في المنصة.
ـ الانتباه إلى التحذيرات الخلفية التي تقدمها المنصة حول المخاطر المحتملة، وضبط الإعدادات وفقاً لذلك.
يشكل سوء إعداد Microsoft Power Pages خطراً حقيقياً على أمان البيانات، مما يفرض على المؤسسات التعامل مع المنصة بحذر، واعتماد أفضل الممارسات الأمنية من خلال تعزيز الإعدادات الأمنية ومراجعة الأذونات بانتظام، يمكن للشركات حماية بياناتها الحساسة والتصدي لمحاولات الاختراق المحتملة.