Nærmere 40 millioner poster lekket gjennom dårlige Power Apps -innstillinger
Sikkerhetsforskere oppdaget at rundt 38 millioner datarekorder har blitt avslørt på nettet. Datalekkasjen ble forårsaket av dårlig konfigurerte forekomster av Microsoft Power Apps. De lekkede dataene inkluderer Covid -vaksinasjonsinformasjon, e -post og personnummer.
Kablet rapporterer at data lagret av store selskaper har blitt avslørt på nettet. Navnene på enheter som lekket poster på grunn av konfigurasjonsproblemene inkluderer NY city public schools, helseavdelingen i delstaten Indiana, samt American Airlines og bilprodusenten Ford.
Lekkasjen ble oppdaget av forskere som jobbet med sikkerhetsfirmaet Upguard, som startet etterforskningen for noen måneder siden. Det endelige resultatet var at de lekkende dataene, mens de angivelig var sikret, var offentlig tilgjengelige for alle på internett.
Problemet var forårsaket av det faktum at Power App -APIer gjør data samlet inn ved hjelp av API -en offentlig når de bruker standardinnstillingene. Hvis eieren av den respektive appportalen ønsker å ha denne informasjonen skikkelig sikret, må de omkonfigurere API og app som brukes til å gjøre dataene sikre og private.
Forskere som er involvert i undersøkelsen varslet Microsoft om problemet og sendte lenker til de spesifikke Power App -portalene som lekker data. Noe forvirrende, etter en kort utveksling med Microsoft, ble forskere fortalt at problemet var løst, da denne oppførselen ble ansett å være "av design".
Upguard -forskere tok deretter kontakt med individuelle selskaper og enheter som ble berørt av standardkonfigurasjonsproblemet. I løpet av få dager var det store flertallet av lekkende forekomster av Power Apps sikret på riktig måte, og problemet ble faktisk løst.
Microsoft kom ut med en uttalelse om at nå vil alle som bruker Power Apps -portalene få innsamlet data sikret og satt til privat som standard. I tillegg lanserte programvareselskapet et spesielt verktøy, designet for å hjelpe kundene med å kontrollere personvernet til Power Apps -data enkelt.
Det er ingen informasjon eller bevis for at de lekkende dataene har blitt skrapt eller på annen måte misbrukt av ondsinnede aktører.
Hendelsen har ikke ført til noe nær en datakatastrofe, men den viser likevel at selv et enkelt tilsyn og tillit til standardinnstillingene i et verktøy du ikke er helt kjent med, kan føre til potensielle risikoer og datasikkerhetsproblemer.
