38 млн пользовательских записей утекли в сеть из-за неправильных настроек Microsoft Power Apps
Из-за неправильных настроек Power Apps от Microsoft данные более тысячи приложений попали в открытый доступ. В сеть в том числе утекли данные с платформ отслеживания контактов Covid-19, регистрации на вакцинацию, сервисов приёма на работу и баз сотрудников различных компаний — от телефонов и домашних адресов до номеров соцстрахования.
Инцидент затронул крупные компании и организации, включая American Airlines, Ford, логистическую компанию J.B. Hunt, Минздрав Мэриленда, Управление городского транспорта Нью-Йорка и государственные школы Нью-Йорка.
Все скомпрометированные данные хранились на платформе разработки Microsoft Power Apps, которая упрощает создание веб- и мобильных приложений для внешнего использования.
Уязвимости были обнаружены исследователями из компании по обеспечению безопасности Upguard. Они изучили большое количество порталов Power Apps, на которых размещены конфиденциальные данные.
Как выяснилось, кроме управления внутренними базами данных и предоставления основы для разработки приложений, Power Apps также предлагает готовые интерфейсы приложений. Специалисты обнаружили, что при включении API платформа по умолчанию делает соответствующие данные общедоступными. Включение настроек конфиденциальности при этом выполняется вручную. В результате многие клиенты неправильно настроили свои приложения, автоматически выбрав небезопасное хранение.
Microsoft в итоге внесла изменения в ПО Power Apps, теперь приложение по умолчанию будет хранить данные в приватном режиме.
Читать на dev.by