В открытом доступе оказались 38 миллионов записей личных данных из-за халатности в настройке Microsoft Power Apps

Сервис предоставлял анонимный доступ к базам данных веб-приложений.

Базовые настройки сервиса для создания бизнес-приложений Microsoft Power Apps привели к утечке в открытый доступ конфиденциальных записей 47 государственных и частных организаций. Специалист по безопасности компании UpGuard обнаружил проблему и предупредил о ней Microsoft, но та отказалась признавать это проблемой и отправила специалиста читать документацию, сообщает Wired.

Веб-приложения получают данные из Power Apps через интерфейс Open Data Protocol, при этом в конфигурации по умолчанию сервис не проверял права доступа. Из-за этой особенности любой желающий мог просмотреть записи в базах данных компаний American Airlines, Ford, JB Hunt и самой Microsoft, а также государственных учреждений Индианы, Мэриленда и Нью-Йорка. Эти записи включали персональные данные вроде ФИО, адресов, телефонов и номеров социального страхования.

Сотрудник UpGuard связался с центром безопасности Microsoft и попросил прокомментировать ситуацию. Спустя несколько дней переписки UpGuard получила окончательный ответ: специалисты Microsoft определили, что речь идёт не об уязвимости, а поведении, которое предопределено дизайном приложения, поэтому проблемы нет и обсуждать нечего — всё написано в документации к Power Apps.

После этого сотрудники UpGuard стали рассылать сообщения самим компаниям и госучреждениям — те начали принимать меры и закрывать анонимный доступ к своим базам данных. После такой огласки Microsoft всё же решила проблему: включила по умолчанию проверку доступа для Open Data Protocol и добавила в документацию выделенное розовым цветом предупреждение о небезопасности отключения этой опции.

#новости #безопасность #microsoft