Microsoft слила 38 млн записей личных данных и не признала ошибку
Microsoft допустила крупную утечку личных данных — в базовых настройках её сервиса Power Apps не проверялись права доступа. Из-за этого в Сеть утекли 38 млн записей конфиденциальной информации, в том числе сведения из приложений для отслеживания контактов c заражёнными коронавирусом. Любой желающий мог просмотреть не только адреса и телефоны людей, но и номера их страховки и даже наличие прививки от COVID-19. При этом корпорация отказалась признавать ошибку или халатность.
Платформа Microsoft Power Apps предназначена для упрощённого создания бизнес-приложений. Помимо прочего, сервис предоставляет готовые интерфейсы для программирования приложений (API), они интегрируются внутренними данными организаций-пользователей. Как выяснили специалисты компании UpGuard, при использовании этих API платформа по умолчанию не проверяла права доступа — в результате многие клиенты оставляли конфиденциальные сведения из своих приложений в открытом доступе.
Утечка затронула многие крупные компании и организации, в том числе American Airlines, Ford, крупную транспортную компанию из США JB Hunt, Минздрав штата Мэриленд, управление городского транспорта и школы Нью-Йорка. Эксперты из UpGuard обратились к Microsoft и указали на уязвимость. Однако корпорация отказалась признавать проблему и отправила «безопасников» читать документацию.
Не добившись нужной реакции от Microsoft, сотрудники UpGuard начали рассылать сообщения самим компаниям и госучреждениям об особенностях настроек в Power Apps. После этого клиенты начали вручную закрывать доступ к своим данным. В начале августа уже и сама Microsoft объявила, что теперь вся внутренняя информация пользователей порталов Power Apps по умолчанию будет приватной. Также IT-гигант добавил в документацию выделенное розовым цветом предупреждение о небезопасности отключения этой опции.
В июле стало известно, что за год Microsoft выплатила $13,6 млн исследователям по кибербезопасности в качестве вознаграждения за найденные уязвимости. Деньги получили более 340 специалистов из 58 стран. Средний размер выплат по программе составил $10 000, а самое крупное вознаграждение — $200 000. Всего за год Microsoft получила более чем 1200 отчётов об уязвимостях.
Фото: Pixabay, Pixabay License
Откроем важный секрет: всё самое интересное — в нашем телеграме.