Per prastus „Power Apps“ nustatymus nutekėjo beveik 40 milijonų įrašų

Saugumo tyrėjai nustatė, kad internete buvo atskleista apie 38 milijonus duomenų. Duomenų nutekėjimą sukėlė prastai sukonfigūruoti „Microsoft Power Apps“ egzemplioriai. Nutekinti duomenys apima skiepijimą nuo „Covid“, el. Laiškus ir socialinio draudimo numerius.

„Wired“ praneša, kad didelių įmonių saugomi duomenys buvo atskleisti internete. Subjektų, kurie dėl konfigūracijos problemų nutekino įrašus, pavadinimai apima NY miesto valstybines mokyklas, Indianos valstijos sveikatos departamentą, taip pat „American Airlines“ ir transporto priemonių gamintoją „Ford“.

Nuotėkį aptiko tyrėjai, dirbantys kartu su apsaugos įmone „Upguard“, kurie prieš kelis mėnesius pradėjo tyrimą. Galutinis rezultatas buvo tas, kad nutekėję duomenys, nors ir buvo apsaugoti, buvo viešai prieinami visiems internete.

Problemą sukėlė tai, kad naudojant „Power App“ API duomenys, surinkti naudojant API, yra vieši, kai naudojami numatytieji nustatymai. Jei atitinkamo programų portalo savininkas nori tinkamai apsaugoti šią informaciją, jam reikės iš naujo sukonfigūruoti API ir programą, naudojamą duomenims apsaugoti ir privatiems.

Tyrime dalyvavę tyrėjai pranešė „Microsoft“ apie šią problemą ir atsiuntė nuorodas į konkrečius „Power App“ portalus, kurie nutekino duomenis. Šiek tiek painu, po trumpo pasikeitimo su „Microsoft“ tyrėjams buvo pasakyta, kad problema išspręsta, nes toks elgesys laikomas „suplanuotu“.

Tada „Upguard“ tyrėjai kreipėsi į atskiras įmones ir subjektus, kuriuos paveikė numatytoji konfigūracijos problema. Per kelias dienas didžioji dalis nutekėjusių „Power Apps“ atvejų buvo tinkamai apsaugoti ir problema iš tikrųjų buvo išspręsta.

„Microsoft“ išėjo su pareiškimu, kad dabar visi, naudojantys „Power Apps“ portalus, turės surinktus duomenis, kurie pagal numatytuosius nustatymus bus apsaugoti ir nustatyti kaip privatūs. Be to, programinės įrangos kompanija išleido specialų įrankį, skirtą padėti klientams lengvai patikrinti „Power Apps“ duomenų privatumą.

Nėra jokios informacijos ar įrodymų, kad nutekėję duomenys iki šiol buvo nuskaityti ar kitaip piktnaudžiaujama kenkėjiškų veikėjų.

Šis incidentas nepadarė nieko panašaus į duomenų katastrofą, tačiau vis tiek rodo, kad net paprasta priežiūra ir pasitikėjimas numatytais įrankio, kurio nežinote visiškai, parametrais gali sukelti galimą riziką ir duomenų saugumo problemas.