O vulnerabilitate Microsoft a expus 38 de milioane de date. O configurație greșită Microsoft a lăsat descoperite datele a 1.000 de aplicații.
O vulnerabilitate Microsoft a expus 38 de milioane de date
Aproximativ 38 de milioane de înregistrări de date de la o mie de aplicații care utilizează platforma Power Apps de la Microsoft au fost expuse online, potrivit cercetătorilor. Se pare că înregistrările includ date rezultate din tracking-ul contactelor COVID-19, înregistrări de vaccinuri și baze de date pentru angajați. Astfel, vorbim de date precum adresele de origine, numerele de telefon, numerele de securitate socială și starea de vaccinare.
Datele din unele companii și instituții mari au fost expuse în incident, potrivit Wired. Printre ele se numără American Airlines, Ford, Departamentul de Sănătate din Indiana și școlile publice din New York City. Vulnerabilitatea a fost rezolvată în cea mai mare parte.
Cercetătorii de la compania de securitate Upguard au început să analizeze problema în luna mai. Ei au descoperit că date din mai multe portaluri Power Apps care trebuiau să fie private au fost disponibile pentru cei care știau unde să se uite.
Serviciul Power Apps oferă interfețe de programare a aplicațiilor (API) pentru ca dezvoltatorii să îl utilizeze cu datele pe care le colectează. Cu toate acestea, Upguard a constatat că utilizarea API face ca datele obținute prin Power Apps face acele date publice implicit. Astfel, reconfigurarea manuală a fost este necesară pentru a păstra informațiile private.
Upguard declară că a trimis un raport de vulnerabilitate la Centrul de Resurse de Securitate Microsoft în 24 iunie. De asemenea, a trimis legăturile cu portalurile Power Apps prin care au fost expuse date sensibile. cercetătorii au trimis și pașii pentru a identifica API-urile care au permis accesul anonim la date.
Cercetătorii Upguard au lucrat cu Microsoft
Cu toate acestea, un analist Microsoft a spus firmei pe 29 iunie că a fost închis cazul.
Upguard a început apoi să notifice unele dintre companiile și organizațiile afectate. Multe dintre acestea au schimbat serviciul. cDe asemenea, Upguard a ridicat un raport de abuz cu Microsoft pe 15 iulie. Până pe 19 iulie, compania spune că majoritatea datelor din portalurile Power Apps în cauză au fost făcute private.
„Produsele noastre oferă clienților flexibilitate și caracteristici de confidențialitate pentru a proiecta soluții scalabile care îndeplinesc o mare varietate de nevoi. Noi luăm în serios securitate și confidențialitate și încurajăm clienții noștri să utilizeze cel mai bine practici atunci când configurați produse în moduri care îndeplinesc cel mai bine nevoile lor de confidențialitate”. spune Microsoft.
La începutul acestei luni, Microsoft a declarat că aplicațiile Power Apps vor păstra datele private în mod implicit. În plus, a lansat un instrument pentru dezvoltatori pentru a-și verifica setările.
Nu există nici o indicație că oricare dintre datele expuse a fost compromisă. Printre cele mai sensibile informații au fost 332.000 de adrese de e-mail și ID-uri de angajați Microsoft. Se pare că aceste date sunt folosite pentru salarizare. Compania spune, de asemenea, că au fost expuse mai mult de 39.000 de înregistrări din portaluri legate de realitate mixtă Microsoft, inclusiv numele utilizatorilor și adresele de e-mail.
