Специалисты UpGuard, работающей в сфере информационной безопасности, сообщили о 47 частных компаниях и правительственных организациях, которые не закрыли доступ к данным своих клиентов. В их число входят власти штатов Индиана, Мэриленд, Нью-Йорк и округа Дентон в Техасе, а также компании American Airlines, Ford и даже Microsoft. Все эти учреждения использовали сервис для создания приложений Microsoft Power App.
Среди попавшей в открытый доступ информации были имена, адреса, ящики электронной почты, номера страховых полисов, данные о вакцинации от COVID-19 и данные для отслеживания распространения вируса.
По данным UpGuard, использование настроек по умолчанию с API-интерфейсами OData означало, что данные открыты, и к ним можно получить анонимный доступ, а предотвратить утечку можно было только самостоятельно, вручную изменив настройки Power App.
Мы обнаружили неправильно сконфигурированное приложение, которое раскрывало данные. Мы никогда не сталкивались с таким. Был ли это единичный случай или массовый сбой? Но благодаря особенностям работы портала Power App очень легко было выявить множество подобных случаев
— прокомментировал данный вопрос вице-президент UpGuard Грег Поллок.
Тем не менее в технической документации упоминалось, что получаемые OData данные открыты для просмотра, однако этих предупреждений оказалось недостаточно для того, чтобы избежать серьезных последствий неправильной настройки протокола OData для порталов Power App.
Microsoft уже внесла изменения в Power App, и теперь данные недоступны. Компания предложила пострадавшим поменять настройки самостоятельно, предоставив пользователям инструменты для самостоятельной диагностики своих порталов Power App и добавив предупреждение для разработчиков как в документацию, так и в среду разработки.
Упоминание потенциальной уязвимости появлялось на форуме Power Apps в 2020 году, но тогда эта новость не вызвала резонанса, поскольку речь шла только о документации, подразумевающей небезопасное поведение системы.
