Над 38 милиона записа от почти хиляда уеб приложения, които използват платформата Power Apps на Microsoft, са оставени на публичен достъп в мрежата, алармират изследователи по сигурността. Според тях записите включват данни от проследяване на контакти с COVID-19, регистрации на ваксини и бази данни на служители - домашни адреси, телефонни номера, номера на социално осигуряване и ваксинационни записи.
Wired твърди, че в списъка попадат и данните на редица големи компании и организации, включително American Airlines, Ford, Министерството на здравеопазването на американския щат Индиана и държавните училища в Ню Йорк. Уязвимостта вече е овладяна.
Изследователи от Upguard започват да изследват случая през май и разкриват, че данните от много приложения на Power Apps, които би трябвало да бъдат частни, са достъпни за всеки, ако знае къде да търси.
Услугата Power Apps има за цел да улесни разработчиците и компаниите да създават свои собствени уеб и мобилни приложения. Тя предлага интерфейси за програмиране (API) за разработчици, които използват събраните данни. Upguard обаче установява, че използването на тези приложни програмни интерфейси прави данните, получени чрез Power Apps, публично достъпни, и е необходимо ръчно преконфигуриране, за да се запази поверителността на информацията.
От Upguard казват, че са изпратили доклад за уязвимостта към Центъра за ресурси за сигурност на Microsoft на 24 юни, включително връзки към акаунти в Power Apps, на които са изложени чувствителни данни.
"Нашите продукти предоставят на клиентите гъвкавост и функции за поверителност за проектиране на мащабируеми решения, които отговарят на голямо разнообразие от нужди. Ние приемаме сериозно сигурността и поверителността и насърчаваме клиентите ни да използват най-добрите практики при конфигуриране на продукти по начини, които най-добре отговарят на техните нужди за поверителност", се казва в позицията на Microsoft.
Над 38 милиона записа от почти хиляда уеб приложения, които използват платформата Power Apps на Microsoft, са оставени на публичен достъп в мрежата, алармират изследователи по сигурността. Според тях записите включват данни от проследяване на контакти с COVID-19, регистрации на ваксини и бази данни на служители - домашни адреси, телефонни номера, номера на социално осигуряване и ваксинационни записи.
Wired твърди, че в списъка попадат и данните на редица големи компании и организации, включително American Airlines, Ford, Министерството на здравеопазването на американския щат Индиана и държавните училища в Ню Йорк. Уязвимостта вече е овладяна.
