Как оплошность Microsoft скомпрометировала данные миллионов

Лазейка была в программе Power Apps — её часто используют для нужд бизнеса. В доступе оказались имена клиентов, их адреса, данные финансовых счетов и статус вакцинации от Covid-19.
Как оплошность Microsoft скомпрометировала данные миллионов
Unsplash

Около 38 миллионов записей с конфиденциальной информацией, хранящихся в сервисе Microsoft, были уязвимы в течение года (но, вероятно, не были слиты).

Среди 47 пострадавших организаций были American Airlines, Ford, JB Hunt, многие госучреждения США, а также сам Microsoft. По данным UpGuard, использование настроек по умолчанию с API-интерфейсами OData означало, что данные открыты и к ним можно получить анонимный доступ.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

С одной стороны, техническая документация говорила в точности то, что получаемые посредством OData данные открыты для просмотра. С другой стороны, предупреждений в документации оказалось недостаточно для того, чтобы избежать серьезных последствий неправильной настройки протокола OData для порталов Power Apps.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

В результате Microsoft внесла изменения в Power Apps, отныне данные недоступны. Когда утечка была обнаружена, Microsoft предложила пострадавшим поменять настройки самостоятельно. В итоге компания сделала все, что могла — предоставила пользователям инструменты для самостоятельной диагностики своих порталов Power Apps и добавила предупреждение для разработчиков как в документацию, так и в среду разработки.

Упоминание потенциальной уязвимости всплывало на форуме Power Apps годом ранее. Впрочем, тогда эта новость не вызвала резонанса — всё обсуждалось в рамках документации, такое поведение системы и было задумано.