Специалисты компании UpGuard, занимающейся вопросами кибербезопасности, выявили масштабную утечку конфиденциальной информации клиентов корпорации Microsoft. Из-за ошибки в настройках сервиса Microsoft Power Apps в течение нескольких месяцев конфиденциальная информация утекала из 47 компаний. Об этом пишет The Threat Post.
Microsoft позиционирует Power Apps как набор приложений и сервисов, а также платформу, обеспечивающую комфортную среду для быстрой разработки бизнес-приложений. Как выяснили специалисты компании UpGuard, на протяжении нескольких месяцев эта платформа имела проблемы с настройками доступа: многие клиенты не обращали внимания на то, что по умолчанию доступ к их хранилищам данных оставался общедоступным, а значит, безопасность информации не обеспечивалась. Но в Microsoft не считают это уязвимостью, отмечая, что имела место быть проблема конфигурации баз данных, а всю ответственность за безопасность информации несут сами компании, подключавшиеся к Power Apps.
Согласно отчету UpGuard, из-за проблем с сервисом Microsoft Power Apps были раскрыты персональные данные клиентов 47 компаний. Всего были скомпрометированы 38 млн записей, включая такие персональные данные, как имена, номера телефонов, электронные адреса, названия должностей, даты рождения, а в ряде случаев номера социального страхования (SSN) и даже сотни тысяч записей, принадлежащих людям, которые записались на вакцинацию от COVID-19.
В частности, исследователи выявили утечки конфиденциальной информации из компаний American Airlines, Ford и J.B. Hunt Transport Services, а также из министерства здравоохранения штата Индиана, мэрии города Дентон (штат Техас) и школ Нью-Йорка. От ошибок в конфигурации сервиса Power Apps пострадала и сама корпорация Microsoft: по данным UpGuard, с портала расчета заработной платы Global Payroll Services утекли 332 тыс. записей персональных данных сотрудников и подрядчиков.
К настоящему времени в Microsoft выпустили инструмент Portal Checker для проверки ресурсов Power Apps на предмет утечек конфиденциальной информации. Кроме того, в корпорации пообещали поработать над конфигурацией своего сервиса: планируется сделать так, чтобы по умолчанию для доступа к базам данных требовалось разрешение.