Домой Новости Как оплошность Microsoft скомпрометировала данные миллионов

Как оплошность Microsoft скомпрометировала данные миллионов

63
0

25.08.2021, 13:10
Лазейка была в программе Power Apps — её часто используют для нужд бизнеса. В доступе оказались имена клиентов, их адреса, данные финансовых счетов и статус вакцинации от Covid-19. Как оплошность Microsoft скомпрометировала данные миллионов Как оплошность Microsoft скомпрометировала данные миллионов Около 38 миллионов записей с конфиденциальной информацией, хранящихся в сервисе Microsoft, были уязвимы в течение года (но, вероятно, не были слиты). Среди 47 пострадавших организаций были American Airlines, Ford, JB Hunt, многие госучреждения США, а также сам Microsoft. По данным UpGuard, использование настроек по умолчанию с API-интерфейсами OData означало, что данные открыты и к ним можно получить анонимный доступ. 

С одной стороны, техническая документация говорила в точности то, что получаемые посредством OData данные открыты для просмотра. С другой стороны, предупреждений в документации оказалось недостаточно для того, чтобы избежать серьезных последствий неправильной настройки протокола OData для порталов Power Apps.

Item 1 of 2Скриншот документации от 7 августа

Возможность публичного доступа чётко обозначена.

В результате Microsoft внесла изменения в Power Apps, отныне данные недоступны. Когда утечка была обнаружена, Microsoft предложила пострадавшим поменять настройки самостоятельно. В итоге компания сделала все, что могла — предоставила пользователям инструменты для самостоятельной диагностики своих порталов Power Apps и добавила предупреждение для разработчиков как в документацию, так и в среду разработки.

Упоминание потенциальной уязвимости всплывало на форуме Power Apps годом ранее. Впрочем, тогда эта новость не вызвала резонанса — всё обсуждалось в рамках документации, такое поведение системы и было задумано.

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
пожалуйста, введите ваше имя здесь