Уязвимост в платформа на Microsoft излага на показ лични данни на 38 млн. потребители

Уязвимост в платформа на Microsoft излага на показ лични данни на 38 млн. потребители

Услугата Power Apps има за цел да улесни разработчиците да създават свои собствени уеб и мобилни приложения

Иван Гайдаров
612 прочитания

Над 38 милиона записа от почти хиляда уеб приложения, които използват платформата Power Apps на Microsoft, са оставени на публичен достъп в мрежата, алармират изследователи по сигурността. Според тях записите включват данни от проследяване на контакти с COVID-19, регистрации на ваксини и бази данни на служители - домашни адреси, телефонни номера, номера на социално осигуряване и ваксинационни записи.

Wired твърди, че в списъка попадат и данните на редица големи компании и организации, включително American Airlines, Ford, Министерството на здравеопазването на американския щат Индиана и държавните училища в Ню Йорк. Уязвимостта вече е овладяна.

Изследователи от Upguard започват да изследват случая през май и разкриват, че данните от много приложения на Power Apps, които би трябвало да бъдат частни, са достъпни за всеки, ако знае къде да търси.

Услугата Power Apps има за цел да улесни разработчиците и компаниите да създават свои собствени уеб и мобилни приложения. Тя предлага интерфейси за програмиране (API) за разработчици, които използват събраните данни. Upguard обаче установява, че използването на тези приложни програмни интерфейси прави данните, получени чрез Power Apps, публично достъпни, и е необходимо ръчно преконфигуриране, за да се запази поверителността на информацията.

От Upguard казват, че са изпратили доклад за уязвимостта към Центъра за ресурси за сигурност на Microsoft на 24 юни, включително връзки към акаунти в Power Apps, на които са изложени чувствителни данни.

"Нашите продукти предоставят на клиентите гъвкавост и функции за поверителност за проектиране на мащабируеми решения, които отговарят на голямо разнообразие от нужди. Ние приемаме сериозно сигурността и поверителността и насърчаваме клиентите ни да използват най-добрите практики при конфигуриране на продукти по начини, които най-добре отговарят на техните нужди за поверителност", се казва в позицията на Microsoft.

Над 38 милиона записа от почти хиляда уеб приложения, които използват платформата Power Apps на Microsoft, са оставени на публичен достъп в мрежата, алармират изследователи по сигурността. Според тях записите включват данни от проследяване на контакти с COVID-19, регистрации на ваксини и бази данни на служители - домашни адреси, телефонни номера, номера на социално осигуряване и ваксинационни записи.

Wired твърди, че в списъка попадат и данните на редица големи компании и организации, включително American Airlines, Ford, Министерството на здравеопазването на американския щат Индиана и държавните училища в Ню Йорк. Уязвимостта вече е овладяна.

С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. ОК