Microsoft слила 38 млн записей личных данных и не признала ошибку

Платформа Microsoft Power Apps предназначена для упрощённого создания бизнес-приложений. Помимо прочего, сервис предоставляет готовые интерфейсы для программирования приложений (API), они интегрируются внутренними данными организаций-пользователей. Как выяснили специалисты компании UpGuard, при использовании этих API платформа по умолчанию не проверяла права доступа — в результате многие клиенты оставляли конфиденциальные сведения из своих приложений в открытом доступе.

Утечка затронула многие крупные компании и организации, в том числе American Airlines, Ford, крупную транспортную компанию из США JB Hunt, Минздрав штата Мэриленд, управление городского транспорта и школы Нью-Йорка. Эксперты из UpGuard обратились к Microsoft и указали на уязвимость. Однако корпорация отказалась признавать проблему и отправила «безопасников» читать документацию.

Не добившись нужной реакции от Microsoft, сотрудники UpGuard начали рассылать сообщения самим компаниям и госучреждениям об особенностях настроек в Power Apps. После этого клиенты начали вручную закрывать доступ к своим данным. В начале августа уже и сама Microsoft объявила, что теперь вся внутренняя информация пользователей порталов Power Apps по умолчанию будет приватной. Также IT-гигант добавил в документацию выделенное розовым цветом предупреждение о небезопасности отключения этой опции.

В июле стало известно, что за год Microsoft выплатила $13,6 млн исследователям по кибербезопасности в качестве вознаграждения за найденные уязвимости. Деньги получили более 340 специалистов из 58 стран. Средний размер выплат по программе составил $10 000, а самое крупное вознаграждение — $200 000. Всего за год Microsoft получила более чем 1200 отчётов об уязвимостях.

Фото: Pixabay, Pixabay License

Откроем важный секрет: всё самое интересное — в нашем телеграме.