Особисті дані 38 млн користувачів опинились у відкритому доступі через помилку Microsoft
У налаштуваннях за замовчуванням Power Apps від Microsoft знайшли помилку. Через неї в мережі опинилися дані 38 млн користувачів, повідомили дослідники компанії з забезпечення інформаційної безпеки Upguard.
Що сталося
Сервіс Microsoft Power Apps дозволяє компаніям створювати прості програми та вебсайти без навичок програмування. З травня 2021 року Upguard досліджувала сайти Power Apps, які публічно розкривали конфіденційні дані. Орієнтовно 50 компаній (таких як American Airlines, Ford, JB Hunt) неусвідомлено поширювали інформацію про користувачів.
Розробники платформи зробили помилку в коді програми, яка відповідає за взаємодію з внутрішніми базами даних. В Upguard зрозуміли, що, увімкнувши ці API, Power Apps за замовчуванням зробила відповідні дані загальнодоступними. Через те що налаштування конфіденційності — це ручний процес, багато клієнтів вирішували не ускладнювати своє життя та залишали їх за замовчуванням.
Дані, які потрапили у відкритий доступ, включали номери телефонів, домашні адреси, номери страховок, статуси щеплення від COVID-19.
Що далі
На початку серпня Microsoft оголосила, що портали Power Apps тепер за замовчуванням зберігають дані API та іншу інформацію в приватному порядку. Також клієнти зможуть самостійно перевірити налаштування свого сайту.