Według badaczy około 38 milionów dokumentów z tysięcy aplikacji internetowych, które korzystają z platformy Power Apps od Microsoftu, zostało ujawnionych online. Mówi się, że rejestry zawierały dane z działań związanych ze śledzeniem kontaktów z COVID-19, rejestracje szczepionek i bazy danych pracowników, takie jak adresy domowe, numery telefonów, numery ubezpieczenia społecznego i stan szczepień.
Według Wired w wycieku ujawniono dane z niektórych dużych amerykańskich firm i instytucji, w tym American Airlines, Ford, Indiana Department of Health i szkoły publiczne w Nowym Jorku. Luka została już w większości załatana. Badacze z firmy Upguard, zajmującej się bezpieczeństwem, zaczęli sprawdzać tę kwestię w maju tego roku. Odkryli, że dane z wielu portali Power Apps, które miały być prywatne, były dostępne dla każdego, kto wiedział, gdzie ich szukać.
Według badaczy około 38 milionów dokumentów z tysięcy aplikacji internetowych, które korzystają z platformy Power Apps od Microsoftu, zostało ujawnionych online.
Usługa Power Apps to platforma low-code, która ma na celu ułatwienie klientom tworzenie własnych aplikacji internetowych i mobilnych, wraz z frontendem i backendem (głównie do wewnętrznego użytku). Jest to o tyle przydatna usługa, że pozwala tworzyć praktyczne aplikacje osobom, które nie posiadają umiejętności programowania. Oferuje ona również API dla programistów, którego mogą używać z gromadzonymi przez nich danymi. Firma Upguard stwierdziła jednak, że korzystanie z tych interfejsów API domyślnie powoduje upublicznienie danych uzyskanych za pośrednictwem portali Power Apps, a ręczna rekonfiguracja jest wymagana w celu zachowania prywatności informacji.
Upguard twierdzi, że 24 czerwca wysłał raport o luce do Microsoft Security Resource Center, w tym łącza do kont portali Power Apps, na których ujawniono poufne dane oraz kroki w celu zidentyfikowania API, które umożliwiły anonimowy dostęp do danych. Badacze współpracowali z firmą Microsoft, aby wyjaśnić, jak odtworzyć problem, jednak analityk Microsoftu powiedział firmie 29 czerwca, że sprawa została zamknięta i „ustalono, że to zachowanie jest uważane za zgodne z designem”.
Upguard zaczął następnie powiadamiać niektóre z zainteresowanych firm i organizacji, które zdecydowały się zablokować swoje dane. Dokonano także zgłoszenia nadużycia w Microsofcie 15 lipca. Firma twierdzi, że do 19 lipca większość danych z portali Power Apps, w tym najbardziej wrażliwe informacje, zostało utajnionych.
„Nasze produkty zapewniają klientom elastyczność i funkcje ochrony prywatności w celu projektowania skalowalnych rozwiązań, które spełniają różnorodne potrzeby. Poważnie traktujemy bezpieczeństwo i prywatność i zachęcamy naszych klientów do korzystania z najlepszych praktyk podczas konfigurowania produktów w sposób, który najlepiej spełnia ich potrzeby w zakresie prywatności”.
Nie da się ukryć, że wina w dużej mierze spoczywa tu po stronie firm i organizacji, które pozostawiały domyślne ustawienia, narażając się na wyciek danych, ale z drugiej strony platforma Power Apps skierowana jest przecież do mniej doświadczonych osób, które chcą łatwo szybko tworzyć aplikacje na własny użytek, więc Microsoft mógł to przewidzieć. Gigant najwyraźniej zrozumiał swój błąd, gdyż na początku tego miesiąca poinformował, że aplikacje portali Power Apps będą domyślnie zachowywać prywatność danych, gdy programiści wykorzystują API. Ponadto udostępnił narzędzie dla programistów do sprawdzania ich ustawień.
Jak dotąd nic nie wskazuje na to, że którekolwiek z ujawnionych danych zostały wykorzystane. Wśród najbardziej wrażliwych informacji, które ujawniono, znalazło się 332 000 adresów e-mail i identyfikatory pracowników Microsoft, które są wykorzystywane do rozliczania płac. Firma twierdzi również, że ujawniono ponad 39 000 dokumentów z portali związanych z Microsoft Mixed Reality, w tym nazwy użytkowników i adresy e-mail.
Incydent podkreśla fakt, że błędna konfiguracja, nawet pozornie niewielka, może prowadzić do poważnych konsekwencji. Dlatego też programiści powinni wielokrotnie sprawdzić swoje ustawienia, zwłaszcza podczas podłączania API, którego sami nie zaprojektowali.
Zobacz także:
- Gracz ujawnił nietypowe znalezisko w swoim GeForcie RTX 3090 Founders Edition
- Nowy socket AMD AM5 dla procesorów ZEN 4 Ryzen 6000 bez PCIe 5.0? Wyciek z Gigabyte potwierdza
- Odświeżone karty graficzne z linii Phantom trafiają do oferty firmy Gainward
Pokaż / Dodaj komentarze do: Z usługi Microsoftu wyciekły dziesiątki milionów dokumentów, w tym o statusie zaszczepienia