ИБ-исследователи из компании UpGuard обнаружили в открытом доступе более 38 миллионов записей, принадлежащих 47 различным организациям, которые работают с платформой Microsoft Power Apps.
PowerApps предназначена для бизнес-пользователей. Она позволяет создавать кастомные бизнес-приложения, работающие на мобильных устройствах и в интернете, на базе готовых шаблонов, а также предлагает API-интерфейсы для обеспечения доступа к данным, включая различные варианты для получения и хранения информации.
Сообщается, что в результате утечки пострадали государственные органы Индианы, Мэриленда и Нью-Йорка, а также частные компании, включая таких гигантов, как American Airlines, Ford, JB Hunt и даже саму Microsoft.
«Типы данных различались от портала к порталу, и включали личную информацию, используемую для отслеживания контактов с зараженными COVID-19, назначенные даты вакцинации от COVID-19, номера социального страхования для соискателей, ID сотрудников, а также миллионы имен и адресов электронной почты», — рассказывают в UpGuard.
К примеру, в общем доступе оказались 332 000 email-адресов и ID сотрудников, используемые для расчета заработной платы в Microsoft, а также более 85 000 записей, связанные с порталами Business Tools Support и Mixed Reality.
Специалисты пишут, что все эти данные были доступны любому желающему по ошибке и утекали через API OData PowerApps. Проблема крылась в неправильной конфигурации того, как именно портал может обмениваться данными и хранить их. Дело в том, что для защиты информации необходимо не только задать конкретные Table Permissions для таблиц, но также активировать Enable Table Permissions. Увы, многие этого не делали.
«Порталы Power Apps имеют встроенные опции для обмена данными, но они также работают с типами данных, которые по своей природе являются конфиденциальными. В таких случаях, как со страницами записи на вакцинацию от COVID-19, существуют типы данных, которые должны быть общедоступными, например, адреса пунктов вакцинации и доступное время приема, но есть и конфиденциальные данные, которые должны быть закрытыми, например, личная информация о вакцинированных людях», — объясняют эксперты.
Исследователи уведомили Microsoft об утечке данных еще 24 июня 2021 года, однако сначала компания отказалась признавать это уязвимостью и проблемой, сообщив, что таково «преднамеренное» поведение системы.
Однако впоследствии в Microsoft все же приняла меры, чтобы предупредить своих клиентов о проблеме, а также выпустила инструмент Portal Checker, предназначенный для обнаружения утечек, возникающих из-за неправильной конфигурации. Затем компания и вовсе внесла изменения в Power App, благодаря которым все новые порталы используют Table Permissions для всех форм и списков независимо от заданного значения Enable Table Permissions.