Nära 40 miljoner poster läckte ut genom dåliga inställningar för Power Apps

Säkerhetsforskare upptäckte att cirka 38 miljoner dataposter har avslöjats online. Dataläckan orsakades av dåligt konfigurerade instanser av Microsoft Power Apps. Den läckta informationen inkluderar Covid -vaccinationsinformation, mejl och personnummer.

Wired rapporterar att data som lagras av stora företag har avslöjats online. Namnen på enheter som läckte poster på grund av konfigurationsproblemen inkluderar NY city public schools, hälsoavdelningen i delstaten Indiana, liksom American Airlines och fordonstillverkaren Ford.

Läckan upptäcktes av forskare som arbetade med säkerhetsföretaget Upguard, som startade sin undersökning för några månader sedan. Det slutliga resultatet var att den läckande informationen, trots att den förmodligen var säker, var tillgänglig för alla på internet.

Problemet orsakades av att Power App API: er gör data som samlas in med API: et offentligt när de använder standardinställningarna. Om ägaren till respektive appportal vill ha denna information ordentligt säkrad, skulle de behöva konfigurera om API: et och appen som används för att göra data säkra och privata.

Forskare som deltar i undersökningen meddelade Microsoft om problemet och skickade länkar till de specifika Power App -portaler som läckte data. Något förvirrande, efter ett kort utbyte med Microsoft, fick forskare veta att problemet var löst, eftersom detta beteende ansågs vara "av design".

Upguard -forskare kontaktade sedan enskilda företag och enheter som påverkades av standardkonfigurationsproblemet. Inom några dagar var de allra flesta läckande instanser av Power Apps säkrade ordentligt och problemet var verkligen löst.

Microsoft kom ut med ett uttalande om att alla som använder Power Apps -portalerna kommer att få sina insamlade data säkrade och som privata som standard. Dessutom släppte mjukvaruföretaget ett specialverktyg, som är utformat för att hjälpa kunder att enkelt kontrollera integriteten för Power Apps -data.

Det finns ingen information eller bevis för att läckande data har skrapats eller på annat sätt missbrukats av skadliga aktörer hittills.

Händelsen har inte lett till något nära en datakatastrof, men den visar ändå att även en enkel övervakning och att lita på standardinställningarna i ett verktyg som du inte är helt bekant med kan leda till potentiella risker och datasäkerhetsproblem.