Около 40 миллионов записей просочились из-за плохих настроек Power Apps

Исследователи в области безопасности обнаружили, что в Интернете было обнаружено около 38 миллионов записей данных. Утечка данных была вызвана плохо настроенными экземплярами Microsoft Power Apps. Утечка данных включает информацию о вакцинации против Covid, электронные письма и номера социального страхования.

Wired сообщает, что данные, хранящиеся в крупных компаниях, были раскрыты в Интернете. Имена организаций, в которых произошла утечка записей из-за проблем с конфигурацией, включают государственные школы Нью-Йорка, департамент здравоохранения штата Индиана, а также American Airlines и производителя автомобилей Ford.

Утечка была обнаружена исследователями, работающими с охранной фирмой Upguard, которые начали расследование несколько месяцев назад. Конечным результатом было то, что утечка данных, хотя якобы защищенная, стала общедоступной для всех в Интернете.

Проблема была вызвана тем, что API-интерфейсы Power App делают данные, собранные с помощью API, общедоступными при использовании настроек по умолчанию. Если владелец соответствующего портала приложений хочет, чтобы эта информация была должным образом защищена, ему потребуется перенастроить API и приложение, используемое для обеспечения безопасности и конфиденциальности данных.

Исследователи, участвовавшие в расследовании, уведомили Microsoft о проблеме, отправив ссылки на определенные порталы Power App, по которым происходила утечка данных. Несколько сбивчиво, после краткого обмена мнениями с Microsoft исследователям сказали, что проблема была решена, поскольку такое поведение было сочтено «преднамеренным».

Затем исследователи Upguard обратились к отдельным компаниям и организациям, затронутым проблемой конфигурации по умолчанию. В течение нескольких дней подавляющее большинство утечек экземпляров Power Apps были должным образом защищены, и проблема действительно была решена.

Microsoft выступила с заявлением о том, что теперь любой, кто использует порталы Power Apps, будет защищать свои собранные данные и по умолчанию устанавливать конфиденциальность. Кроме того, компания-разработчик программного обеспечения выпустила специальный инструмент, призванный помочь клиентам легко проверять конфиденциальность данных Power Apps.

Пока нет информации или свидетельств того, что утечка данных была извлечена или иным образом использована злоумышленниками.

Инцидент не привел ни к чему близкому к катастрофе данных, но он все же показывает, что даже простой контроль и доверие настройкам по умолчанию в инструменте, с которым вы не совсем знакомы, могут привести к потенциальным рискам и проблемам с безопасностью данных.