PowerAppsの設定が不十分なために4,000万件近くのレコードが漏洩

セキュリティ研究者は、約3,800万件のデータレコードがオンラインで公開されていることを発見しました。データ漏えいは、Microsoft PowerAppsの不適切に構成されたインスタンスが原因で発生しました。漏洩したデータには、Covidワクチン接種情報、電子メール、社会保障番号が含まれています。

Wiredは、大企業によって保存されたデータがオンラインで公開されたと報告しています。構成の問題のために記録を漏らしていたエンティティの名前には、ニューヨーク市の公立学校、インディアナ州の保健局、アメリカン航空、自動車メーカーのフォードが含まれます。

リークは、数か月前に調査を開始したセキュリティ会社Upguardと協力している研究者によって発見されました。最終的な結果として、漏洩したデータは安全であると思われますが、インターネット上の誰もが公にアクセスできるようになりました。

この問題は、Power App APIが、デフォルト設定を使用しているときにAPIを使用して収集されたデータを公開するという事実が原因で発生しました。それぞれのアプリポータルの所有者がこの情報を適切に保護したい場合は、データを安全でプライベートにするために使用されるAPIとアプリを再構成する必要があります。

調査に関与した研究者は、この問題についてマイクロソフトに通知し、データを漏らしていた特定のPowerAppポータルへのリンクを送信しました。やや紛らわしいことに、Microsoftとの簡単なやり取りの後、この動作は「設計による」と見なされたため、研究者は問題が解決したと言われました。

その後、Upguardの研究者は、デフォルトの構成の問題の影響を受けた個々の企業やエンティティに連絡を取りました。数日以内に、Power Appsのリークしているインスタンスの大部分が適切に保護され、問題は実際に解決されました。

Microsoftは、Power Appsポータルを使用するすべての人が、収集したデータを保護し、デフォルトでプライベートに設定するという声明を発表しました。さらに、ソフトウェア会社は、顧客がPowerAppsデータのプライバシーを簡単に確認できるように設計された特別なツールをリリースしました。

これまでのところ、漏洩したデータが悪意のある攻撃者によってスクレイピングまたは悪用されたという情報や証拠はありません。

この事件はデータ災害に近いものにはなりませんでしたが、それでも、単純な監視と、完全に精通していないツールのデフォルト設定の信頼でさえ、潜在的なリスクとデータセキュリティの問題につながる可能性があることを示しています。