Неправильно установленные настройки сервиса для создания бизнес-приложений Microsoft Power Apps привели к одной из крупнейших утечек личных данных за последнее время. В открытый доступ попали конфиденциальные записи из 47 государственных и частных организаций.

Подписаться на iGuides в Telegram, чтобы узнать обо всем первым — t.me/iguides

Проблема заключалась в том, что сервис Microsoft Power Apps не проверял права пользователя при доступе к данным через интерфейс Open Data Protocol. Это привело к тому, что любой желающий мог извлечь данные из баз, которые хранят в Microsoft Power Apps различные организации, в том числе сама Microsoft. В базах содержатся личные данные: ФИО сотрудников компаний и их клиентов, почтовые адреса, номера телефонов, номера карт социального страхования. Проблема актуальна в основном для американских компаний. В общей сложности утекло 38 миллионов записей.

Примечательно, что ИБ-специалист компании UpGuard обнаружил проблему в Microsoft Power Apps и предупредил об этом компанию Microsoft, но та сочла, что уязвимости в этом сервисе не существует, и отправила его изучать документацию. Якобы это поведение определено дизайном сервиса, что указано в технических документах. После получения такого ответа специалисты UpGuard начали рассылать обращения к компаниям, использующим Microsoft Power Apps, подтверждая возможность утечки личных данных из этого сервиса. Те стали закрывать анонимный доступ к своим базам и заставили Microsoft включить по умолчанию проверку прав пользователя Open Data Protocol, а также выделить цветом предупреждение об опасности предоставления доступа к данным без авторизации.