Prawie 40 milionów rekordów wyciekło przez słabe ustawienia Power Apps
Badacze bezpieczeństwa odkryli, że około 38 milionów rekordów danych zostało ujawnionych online. Wyciek danych został spowodowany przez źle skonfigurowane wystąpienia Microsoft Power Apps. Ujawnione dane obejmują informacje o szczepieniach Covid, e-maile i numery ubezpieczenia społecznego.
Przewodowe raporty, że dane przechowywane przez duże firmy zostały ujawnione w Internecie. Nazwy podmiotów, które ujawniły dane z powodu problemów z konfiguracją, to między innymi szkoły publiczne miasta Nowy Jork, wydział zdrowia stanu Indiana, a także American Airlines i producent pojazdów Ford.
Wyciek odkryli badacze współpracujący z firmą ochroniarską Upguard, którzy rozpoczęli śledztwo kilka miesięcy temu. Ostatecznym rezultatem było to, że wyciekające dane, choć rzekomo zabezpieczone, były publicznie dostępne dla każdego w Internecie.
Problem był spowodowany faktem, że interfejsy API Power App upubliczniają dane zebrane za pomocą interfejsu API podczas korzystania z ustawień domyślnych. Jeśli właściciel odpowiedniego portalu aplikacji chce, aby te informacje były odpowiednio zabezpieczone, musiałby ponownie skonfigurować interfejs API i aplikację używane w celu zapewnienia bezpieczeństwa i prywatności danych.
Badacze zaangażowani w dochodzenie powiadomili firmę Microsoft o problemie, wysyłając łącza do konkretnych portali Power App, z których wyciekały dane. Nieco mylące, po krótkiej wymianie zdań z Microsoftem, badaczom powiedziano, że problem został rozwiązany, ponieważ to zachowanie zostało uznane za „zaprojektowane”.
Następnie badacze Upguard skontaktowali się z poszczególnymi firmami i podmiotami, których dotyczył problem z domyślną konfiguracją. W ciągu kilku dni zdecydowana większość wyciekających wystąpień Power Apps została odpowiednio zabezpieczona i problem został rzeczywiście rozwiązany.
Microsoft wyszedł z oświadczeniem, że teraz każdy, kto korzysta z portali Power Apps, będzie miał swoje zebrane dane zabezpieczone i domyślnie ustawione jako prywatne. Ponadto firma programistyczna wydała specjalne narzędzie, które ma pomóc klientom w łatwym sprawdzaniu prywatności danych Power Apps.
Jak dotąd nie ma informacji ani dowodów na to, że wyciekające dane zostały zeskrobane lub w inny sposób wykorzystane przez złośliwych cyberprzestępców.
Incydent nie doprowadził do niczego bliskiego katastrofie danych, ale nadal pokazuje, że nawet proste przeoczenie i zaufanie do domyślnych ustawień narzędzia, z którym nie jesteś do końca zaznajomiony, może prowadzić do potencjalnych zagrożeń i problemów z bezpieczeństwem danych.
