Инструмент Microsoft злоупотребил утечкой данных из 47 организаций

Новое исследование показывает, что неправильная конфигурация широко используемого веб-инструмента привела к утечке десятков миллионов записей данных.

Microsoft энергетические приложения, популярная платформа разработки, которая позволяет организациям быстро создавать веб-приложения, наполненные веб-сайтами, ориентированными на аудиторию, и управлять связанными серверными данными. Многие правительства использовали Power Apps, чтобы быстро узнать, что такое интерфейсы отслеживания контактов, например, для covid-19.

Однако из-за неправильной конфигурации продукта большие наборы данных могут стать общедоступными в Интернете — именно это и происходило.

Исследователи из фирмы UpGuard, занимающейся кибербезопасностью. недавно обнаруженный 47 различных организаций, включая правительства, крупные корпорации и саму Microsoft, неправильно сконфигурировали Power Apps, оставив данные незащищенными.

Список включает несколько очень крупных организаций, в том числе правительства штатов Мэриленд и Индиана, а также государственные агентства Нью-Йорка, такие как MTA. Крупные частные компании, в том числе American Airlines и транспортно-логистическая компания JB Hunt, также пострадали от утечек.

Исследователи UpGuard написали, что набор утекших данных включает в себя множество конфиденциальных данных, в том числе Личная информация, используемая для отслеживания контактов COVID-19, назначений на вакцинацию COVID-19, номеров социального страхования соискателей работы, идентификаторов сотрудников, а также миллионов имен и адресов электронной почты.

По мнению исследователей, похоже, что сама Microsoft неправильно настроила ряд своих баз данных Power Apps, в результате чего были обнаружены большие объемы их записей. Один из этих элементов, по-видимому, включал «набор из 332 000 адресов электронной почты и идентификаторов сотрудников, используемых для глобальных служб расчета заработной платы Microsoft», — пишут исследователи.

В июне UpGuard обратился в Центр ресурсов безопасности Microsoft, чтобы отправить отчет об уязвимостях, предупредив их о широко распространенной проблеме. Всего в результате утечек, отмеченных исследователями, было обнаружено 38 миллионов записей.

В конечном итоге UpGuard пришел к выводу, что Microsoft недостаточно разглашала эту проблему безопасности и что следовало сделать больше, чтобы предупредить клиентов о рисках неправильной конфигурации. Исследователи пишут:

Количество учетных записей, раскрывающих конфиденциальную информацию … указывает на риски этой функции — потенциал и влияние неправильная конфигурацияЭто недостаточно ценится. С одной стороны, документация по продукту точно описывает, что произойдет, если приложение настроено таким образом. С другой стороны, эмпирические данные показывают, что предупреждения в технической документации недостаточно, чтобы избежать опасных последствий неправильной настройки каналов меню OData для порталов Power Apps.

Follow UpGuard, Microsoft С тех пор повернулся Разрешения и настройки по умолчанию, связанные с Power Apps, чтобы сделать продукт более безопасным.