Ошибка в настройке Power Apps привела к утечке данных 38 млн пользователей сервиса — вины Microsoft в этом нет

Специалисты компании UpGuard, работающей в сфере информационной безопасности, сообщили, что около 50 крупных компаний и учреждений, использующих сервис для создания приложений Microsoft Power Apps, оставили открытым доступ к данным своих пользователей. Таким образом, из-за ошибки в настройках сервиса в открытом доступе оказались данные 38 млн. пользователей платформы.

Изображение: Alex Castro / The Verge

Согласно имеющейся информации, проблема затрагивает 47 организаций и компаний из разных штатов, включая правительственные агентства штатов Мэриленд, Нью-Йорк и Индиана, а также компании Ford, American Airlines и J.B. Hunt. Что касается раскрытых данных, то речь идёт о ФИО пользователей Power Apps, адресах их почтовых ящиков, номерах телефонов, номерах социального страхования, записях о вакцинации от COVID-19. Причиной утечки кроется в том, что при создании приложений на платформе Microsoft использовались неверные настройки разрешений на доступ к данным.

«Мы обнаружили одно из этих приложений, которое было неправильно сконфигурировано и раскрывало данные, и мы подумали: мы никогда не слышали об этом, это единичный случай или системная проблема? Благодаря особенностям работы портала Power Apps очень легко было выявить множество подобных случаев», — прокомментировал данный вопрос вице-президент UpGuard Грег Поллок (Greg Pollock).

Напомним, сервис Power Apps позволяет компаниям создавать простые приложения и веб-сайты без навыков программирования. Комментируя этот инцидент Microsoft отметила, что речь не идёт об уязвимости платформы, поскольку утечка данных произошла из-за неправильных пользовательских настроек. Несмотря на это, Microsoft изменила настройки по умолчанию в создаваемых на Power Apps приложениях, чтобы снизить вероятность повторного раскрытия пользовательских данных.