Tæt på 40 millioner optegnelser lækket gennem dårlige Power Apps -indstillinger

Sikkerhedsforskere opdagede, at omkring 38 millioner dataregistre er blevet afsløret online. Datalækagen blev forårsaget af dårligt konfigurerede forekomster af Microsoft Power Apps. De lækkede data inkluderer oplysninger om Covid -vaccination, e -mails og personnummer.

Wired rapporterer, at data gemt af store virksomheder er blevet afsløret online. Navnene på enheder, der lækker optegnelser på grund af konfigurationsproblemerne, omfatter offentlige byskoler i NY, sundhedsafdelingen i staten Indiana samt American Airlines og bilproducenten Ford.

Lækagen blev opdaget af forskere, der arbejdede med sikkerhedsfirmaet Upguard, som startede deres undersøgelse for et par måneder siden. Det endelige resultat var, at de utætte data, mens de angiveligt var sikret, var offentligt tilgængelige for alle på internettet.

Problemet skyldes, at Power App API'er gør data indsamlet ved hjælp af API'et offentligt, når de bruger standardindstillingerne. Hvis ejeren af den respektive appportal ønsker at få disse oplysninger ordentligt sikret, skal de omkonfigurere API'en og appen, der bruges til at gøre dataene sikre og private.

Forskere, der er involveret i undersøgelsen, underrettede Microsoft om problemet og sendte links til de specifikke Power App -portaler, der lækkede data. Lidt forvirrende efter en kort udveksling med Microsoft fik forskere at vide, at problemet var løst, da denne adfærd blev anset for at være "af design".

Upguard -forskere kontaktede derefter individuelle virksomheder og enheder, der var berørt af standardkonfigurationsproblemet. Inden for et par dage blev langt de fleste utætte forekomster af Power Apps sikret korrekt, og problemet blev faktisk løst.

Microsoft kom med en erklæring om, at nu alle, der bruger Power Apps -portalerne, vil have deres indsamlede data sikret og indstillet til privat som standard. Derudover udgav softwarefirmaet et særligt værktøj, der er designet til at hjælpe kunderne med let at kontrollere fortroligheden af Power Apps -data.

Der er ingen oplysninger eller beviser for, at de utætte data hidtil er blevet skrabet eller på anden måde misbrugt af ondsindede aktører.

Hændelsen har ikke ført til noget i nærheden af en datakatastrofe, men den viser stadig, at selv et enkelt tilsyn og tillid til standardindstillingerne i et værktøj, du ikke er helt bekendt med, kan føre til potentielle risici og datasikkerhedsproblemer.