Личные данные 38 млн пользователей Microsoft Power App оказались в открытом доступе

Специалисты UpGuard, работающей в сфере информационной безопасности, сообщили о 47 частных компаниях и правительственных организациях, которые не закрыли доступ к данным своих клиентов. В их число входят власти штатов Индиана, Мэриленд, Нью-Йорк и округа Дентон в Техасе, а также компании American Airlines, Ford и даже Microsoft. Все эти учреждения использовали сервис для создания приложений Microsoft Power App.

Среди попавшей в открытый доступ информации были имена, адреса, ящики электронной почты, номера страховых полисов, данные о вакцинации от COVID-19 и данные для отслеживания распространения вируса.

По данным UpGuard, использование настроек по умолчанию с API-интерфейсами OData означало, что данные открыты, и к ним можно получить анонимный доступ, а предотвратить утечку можно было только самостоятельно, вручную изменив настройки Power App.

Мы обнаружили неправильно сконфигурированное приложение, которое раскрывало данные. Мы никогда не сталкивались с таким. Был ли это единичный случай или массовый сбой? Но благодаря особенностям работы портала Power App очень легко было выявить множество подобных случаев

— прокомментировал данный вопрос вице-президент UpGuard Грег Поллок.

Тем не менее в технической документации упоминалось, что получаемые OData данные открыты для просмотра, однако этих предупреждений оказалось недостаточно для того, чтобы избежать серьезных последствий неправильной настройки протокола OData для порталов Power App.

Microsoft уже внесла изменения в Power App, и теперь данные недоступны. Компания предложила пострадавшим поменять настройки самостоятельно, предоставив пользователям инструменты для самостоятельной диагностики своих порталов Power App и добавив предупреждение для разработчиков как в документацию, так и в среду разработки.

Упоминание потенциальной уязвимости появлялось на форуме Power Apps в 2020 году, но тогда эта новость не вызвала резонанса, поскольку речь шла только о документации, подразумевающей небезопасное поведение системы.

Читайте так же:

  • Яндекс вышел из сделки по покупке магазина одежду KupiVIPЯндекс вышел из сделки по покупке магазина одежду KupiVIP Яндекс объявил о выходе из сделки по покупке интернет-магазина одежды и обуви KupiVIP. Причины, по которым компания передумала покупать магазин, не называются. Известно только, что «компания рассматривает альтернативные выходы в fashion-сегмент». О планах Яндекса по покупке KupiVIP стало […]
  • Где брать контент для сайта бесплатно по темамГде брать контент для сайта бесплатно по темам Как вы узнаете, попадает ли контент вашего сайта в цель? Интересно и актуально ли это для вашей аудитории? Или это не вдохновляет? Ответы на эти вопросы крайне важны для контент-маркетинга, чтобы увеличить доход. Чтобы понять, как работает ваш контент, вам нужно провести анализ […]
  • Google Search Сonsole добавил ссылку на Руководство по работе с AMP-страницамиGoogle Search Сonsole добавил ссылку на Руководство по работе с AMP-страницами Несколько дней назад Google внес изменения в отчет о работе страницы (Page experience) в Search Console. В частности, в интерфейсе GSC появилась ссылка на Руководство по работе с AMP-страницами. Google заявил, что «эта новая функция облегчит решение проблем с производительностью, о […]
  • Игровой Redmi K40 окажется самым тонким и компактным игровым смартфономИгровой Redmi K40 окажется самым тонким и компактным игровым смартфоном Redmi опубликовала новые тизеры игровой версии Redmi K40, и они выглядят многообещающе. Как минимум один – на котором аппарат демонстрируется в профиль. Видно, что он очень тонкий – явно тоньше других игровых моделей на рынке. Другое сообщение с тизером в Weibo указывает на такую […]