Microsoft Power Pages’deki Güvenlik Açığı, Milyonlarca Kullanıcı Verisini Tehdit Ediyor!
Microsoft’un Power Pages platformu, kullanıcıların hızlı bir şekilde web sitesi oluşturmasına olanak tanırken, yanlış yapılandırılmış erişim kontrolleri nedeniyle milyonlarca hassas kaydın yetkisiz kullanıcılar tarafından erişilmesine neden oluyor. Son yapılan araştırmalara göre, bu güvenlik açığı, NHS çalışanlarının kişisel bilgilerini içererek kamuya açık hale getirmiş olabilir.
Microsoft Power Pages, kullanıcıların Microsoft altyapısında dışa açık web siteleri oluşturmasına olanak tanıyan bir düşük kodlu (low-code) SaaS platformu olarak hizmet veriyor. Bu platform, kullanıcıların kolayca web sitesi tasarımı yapabilmesini sağlarken, rol tabanlı erişim kontrolü (RBAC), Microsoft Dataverse gibi veritabanları ve sürükle-bırak arayüzü ile özelleştirilmiş kod yazma gereksinimlerini minimize ediyor. Ancak, AppOmni’nin SaaS güvenlik araştırma şefi Aaron Costello, platformun kolay kullanımı ve hızlı dağıtımı sayesinde güvenlik sorunlarının oluşabileceğini belirtti.
Eylül 2024’te Costello, Power Pages sitelerinde yanlış yapılandırılmış erişim kontrollerinin sonucunda milyonlarca hassas verinin internete açık hale geldiğini fark etti. Bu durum, özellikle şirketler ve kamu hizmetleri için büyük bir tehdit oluşturuyor. Costello’nun tespitlerine göre, NHS’ye ait büyük bir hizmet sağlayıcısının 1,1 milyon NHS çalışanının kişisel bilgilerini yanlış yapılandırılmış Power Pages web siteleri üzerinden kamuya sızdırdığı ortaya çıktı.
Bu güvenlik açığı yalnızca NHS çalışanlarının verilerini değil, aynı zamanda diğer birçok hassas bilginin de internette erişilebilir hale gelmesine yol açabiliyor. Power Pages gibi platformlar, kullanıcıların veri güvenliğini göz ardı etmesine yol açabilecek hız ve esneklik sunuyor. Ancak bu esneklik doğru yapılandırılmadığında büyük güvenlik tehditlerine dönüşebiliyor.
Power Pages’in sunduğu kolay kurulum ve erişim, doğru güvenlik önlemleri alınmadığı takdirde anonim kullanıcıların kişisel tanımlayıcı bilgilerine (PII) erişmesine neden olabiliyor. Bu da kimlik hırsızlığı ve diğer siber suçlar için ciddi fırsatlar yaratıyor.
Power Pages kullanıcılarının, platformu kullanırken güvenlik yapılandırmalarını doğru yapmaları son derece önemli. Erişim kontrol listelerinin (ACL) doğru şekilde ayarlanması, yalnızca yetkilendirilmiş kullanıcıların hassas verilere erişebilmesini sağlamak için kritik bir adım olacak.
Aaron Costello, Microsoft Power Pages kullanıcılarına, platformu dikkatli bir şekilde yapılandırmalarını ve veri güvenliğini sağlamak için profesyonel güvenlik desteği almalarını öneriyor.
Yanlış yapılandırılmış erişim kontrolleri, büyük ölçekli kurumların verilerini tehlikeye atabilir. Microsoft Power Pages gibi güçlü platformlar, kullanıcı dostu olmalarına rağmen doğru yönetilmediklerinde ciddi güvenlik açıklarına yol açabiliyor. Bu nedenle, dijital güvenlik önlemleri almak ve platformları doğru şekilde yapılandırmak büyük önem taşıyor.
