Более тысячи веб-приложений раскрыли данные 38 млн аккаунтов, включая информацию с ряда платформ по отслеживанию контактов с заболевшими COVID-19 и регистрации на вакцинацию, а также с различных порталов по трудоустройству и поиску работы. Эти данные включали и конфиденциальные сведения, такие как номера телефонов и социального страхования, домашние адреса сотрудников компаний и даже статус вакцинации от COVID-19.
Инцидент затронул крупнейшие частные компании и правительственные организации. В их числе American Airlines, Ford, JB Hunt, Министерство здравоохранения Мэриленда, Управление городского транспорта Нью-Йорка и государственные школы. Несмотря на то, что причина утечки была обнаружена и устранена, эта ситуация показала, как всего один неверный параметр конфигурации популярной платформы может привести к таким последствиям.
Все данные хранились в сервисе Microsoft Power Apps. Это платформа для создания мобильных приложений, веб-приложений и сайтов, которые работают за счёт подключения к базам данных компаний и организаций. Например, если нужно быстро развернуть сайт, то с помощью Power Apps можно создать как общедоступный сайт, так и серверную часть управления данными.
В мае этого года эксперты по безопасности из компании UpGuard начали исследовать порталы Power Apps, на которых публикуются конфиденциальные данные, в том числе и некоторые проекты Microsoft, которые компания создала для собственных нужд. Оказалось, что доступ к базам данных, которые использует сервис, по умолчанию открыт всем желающим, но клиенты Power Apps не обращали на это внимание. Настройка конфиденциальности в приложениях осуществлялась вручную, поэтому многие компании не подозревали о том, что оставляют небезопасный параметр включенным.
Microsoft не считает это утечкой данных. Компания утверждает, что их клиенты должны были сами закрывать свои базы данных, если в них содержится конфиденциальная информация. Тем не менее ранее в этом месяце софтверный гигант объявил, что теперь порталы Power Apps по умолчанию будут хранить данные API и другую информацию в приватном порядке. Компания также выпустила инструмент, который можно использовать для проверки настроек своего портала.
