Közel 40 millió rekord szivárgott ki a rossz Power Apps beállítások miatt

Biztonsági kutatók felfedezték, hogy körülbelül 38 millió adatrekord került nyilvánosságra az interneten. Az adatszivárgást a Microsoft Power Apps rosszul konfigurált példányai okozták. A kiszivárgott adatok magukban foglalják a Covid oltási információkat, e -maileket és társadalombiztosítási számokat.

A vezetékes beszámolók szerint a nagyvállalatok által tárolt adatokat online tették közzé. A konfigurációs problémák miatt rekordokat szivárogtató entitások nevei közé tartoznak a NY városi állami iskolák, Indiana állam egészségügyi osztálya, valamint az American Airlines és a Ford járműgyártó.

A szivárgást az Upguard biztonsági céggel dolgozó kutatók fedezték fel, akik néhány hónappal ezelőtt megkezdték a vizsgálatot. A végső eredmény az volt, hogy a kiszivárogtatott adatok, bár állítólag biztonságosak, bárki számára nyilvánosan hozzáférhetőek voltak az interneten.

A problémát az okozta, hogy a Power App API -k az alapértelmezett beállítások használatakor nyilvánossá teszik az API használatával gyűjtött adatokat. Ha az adott alkalmazásportál tulajdonosa szeretné ezeket az információkat megfelelően biztosítani, akkor újra kell konfigurálnia az adatok biztonságossá és privátmá tételéhez használt API -t és alkalmazást.

A vizsgálatban részt vevő kutatók értesítették a Microsoftot a problémáról, és linkeket küldtek az adott Power App portálokra, amelyek adatokat szivárogtattak ki. Kissé zavaró módon, a Microsofttal folytatott rövid eszmecsere után a kutatóknak azt mondták, hogy a probléma megoldódott, mivel ezt a viselkedést "tervezésnek" tekintették.

Az Upguard kutatói ezután felvették a kapcsolatot az egyes vállalatokkal és szervezetekkel, amelyeket érintett az alapértelmezett konfigurációs probléma. Néhány napon belül a Power Apps szivárgó példányainak túlnyomó többsége megfelelően védett, és a probléma valóban megoldódott.

A Microsoft valóban kijelentette, hogy mostantól bárki, aki használja a Power Apps portálokat, biztonságban tartja és alapértelmezés szerint privátra állítja az összegyűjtött adatokat. Ezenkívül a szoftvercég kiadott egy speciális eszközt, amelynek célja, hogy segítsen az ügyfeleknek egyszerűen ellenőrizni a Power Apps adatainak titkosságát.

Nincs információ vagy bizonyíték arra, hogy a kiszivárogtató adatokat eddig rosszindulatú szereplők kaparták vagy más módon visszaéltek vele.

Az eset nem vezetett az adatkatasztrófa közelébe, de mégis azt mutatja, hogy még egy egyszerű felügyelet és az alapértelmezett beállításokban való bizalom is olyan eszközhöz vezethet, amelyet nem teljesen ismer, potenciális kockázatokhoz és adatbiztonsági problémákhoz vezethet.