Исследование: Ошибка в Microsoft Power Apps вызвала массовую утечку данных

Microsoft Power Apps — это программа для создания бизнес-приложений, которая стала особенно популярна в эпоху пандемии и удаленки. Однако в Microsoft не смогли обеспечить должный уровень безопасности приложения, из-за чего десятки миллионов записей утекли в сеть.

По информации исследователей из фирмы UpGuard, специализирующихся на кибербезопасности, некая ошибка в конфигурации Power Apps приводила к тому, что все данные попадали в открытый доступ. Согласно исследованию, от этого пострадали 47 компаний, включая правительственные организации и саму Microsoft.

Утечки данных включают в себя личную информацию, используемую для отслеживания контактов COVID-19, назначений вакцинации COVID-19, номеров социального страхования для соискателей, идентификаторов сотрудников и миллионов имен и адрес электронной почты.

К примеру, у самой Microsoft в сеть утекли 332 000 адресов электронной почты и идентификаторов сотрудников, используемых для расчета заработной платы. Всего же речь идет о 38 миллионах записей, попавших в свободный доступ.

Одной из главных проблем, по мнению исследователей, стала пассивная позиция Microsoft. Корпорация никак не освещала эту проблему и старалась ее скрыть. А изменения в настройках Power Apps были сделаны лишь после публикации отчета от UpGuard.