Проблема коснулась организаций, пользующихся сервисом для создания бизнес-приложений Microsoft Power Apps. Утечку называют одной из самых масштабных за последнее время.
Интересно Кого ждет Украина: у каких компаний есть официальные представительства, а о каких мы только мечтаем
Что произошло
- Компания Microsoft, как оказалось, неправильно настроила Power Apps, вследствие чего тот не проверял права пользователя при доступе к данным через интерфейс Open Data Protocol. Поэтому каждый желающий мог извлечь данные из баз, которые организации хранят на серверах Microsoft.
- Эти базы, в частности, позволяют узнать полные имена сотрудников компаний и их клиентов, почтовые и домашние адреса, номера телефонов, номера карт социального страхования и другую личную информацию.
- Всего доступными были 38 миллионов записей.
Но на этом история не кончилась. Специалист UpGuard, который обнаружил проблему, обратился с ней к Microsoft 24 июня 2021. Но компания вдруг заявила, что никакой проблемы в этом нет – все работает именно так, как задумывалось, и соответствует технической документации.
Поэтому следующим шагом стало обращение непосредственно к самим организациям, которые пользуются услугами сервиса. В результате пострадавшие стороны сначала отключали доступы к базам данных на своей стороне, а позже заставили Microsoft включить по умолчанию проверку прав пользователя Open Data Protocol, а также выделить цветом предупреждения об опасности предоставления доступа к данным без авторизации.
Утечка зацепила государственные органы Индианы, Мэриленда и Нью-Йорка, а также частные компании, включая таких гигантов, как American Airlines, Ford, JB Hunt и даже саму Microsoft. Например, в общем доступе оказались 332 000 email-адресов и ID сотрудников, которые использовались для расчета заработной платы в Microsoft, а также более 85 000 записей, связанных с порталами Business Support Tools и Mixed Reality.
Пока неизвестно о случаях незаконного использования любых данных из этих баз.