Як помилка Microsoft скомпрометувала дані мільйонів

Лазівка була в програмі Power Apps - її часто використовують для потреб бізнесу. У доступі опинилися імена клієнтів, їхні адреси, дані фінансових рахунків і статус вакцинації від Covid-19.

Близько 38 мільйонів записів з конфіденційною інформацією, що зберігаються в сервісі Microsoft, були вразливі протягом року (але, ймовірно, не були злиті).

Серед 47 постраждалих організацій були American Airlines, Ford, JB Hunt, багато держустанов США, а також сам Microsoft. За даними UpGuard, використання параметрів за замовчуванням з API-інтерфейсами OData означало, що дані відкриті і до них можна отримати анонімний доступ.

З одного боку, технічна документація говорила в точності те, що отримані за допомогою OData дані відкриті для перегляду. З іншого боку, попереджень у документації виявилося недостатньо для того, щоб уникнути серйозних наслідків неправильного налаштування протоколу OData для порталів Power Apps.

В результаті Microsoft внесла зміни в Power Apps, відтепер дані недоступні. Коли витік було виявлено, Microsoft запропонувала постраждалим змінити налаштування самостійно. У підсумку компанія зробила все, що могла - надала користувачам інструменти для самостійної діагностики своїх порталів Power Apps і додала попередження для розробників як у документацію, так і в середу розробки.

Згадка потенційної вразливості спливала на форумі Power Apps роком раніше. Втім, тоді ця новина не викликала резонансу - все обговорювалося в рамках документації, така поведінка системи і була задумана.