Що сталося

  • Компанія Microsoft, як виявилось, неправильно налаштувала Power Apps, внаслідок чого той не перевіряв права користувача при доступі до даних через інтерфейс Open Data Protocol. Тому кожен охочий міг витягти дані з баз, які організації зберігають на серверах Microsoft.
  • Ці бази, зокрема, дозволяють дізнатись повні імена працівників компаній та їхніх клієнтів, поштові і домашні адреси, номери телефонів, номери карт соціального страхування та іншу особисту інформацію.
  • Загалом доступними були 38 мільйонів записів.

Але на цьому історія не скінчилась. Спеціаліст UpGuard, який виявив проблему, звернувся з нею до Microsoft 24 червня 2021. Але компанія раптом заявила, що ніякої проблеми в цьому немає – все працює саме так, як задумувалось, і відповідає технічній документації.

Тому наступним кроком стало звернення безпосередньо до самих організацій, які користуються послугами сервісу. У результаті постраждалі сторони спочатку відключали доступи до баз даних на своїй стороні, а пізніше змусили Microsoft увімкнути за замовчуванням перевірку прав користувача Open Data Protocol, а також виділити кольором попередження про небезпеку надання доступу до даних без авторизації.

Витік зачепив державні органи Індіани, Меріленда і Нью-Йорка, а також приватні компанії, включаючи таких гігантів, як American Airlines, Ford, JB Hunt і навіть саму Microsoft. Наприклад, у загальному доступі опинилися 332 000 email-адрес і ID співробітників, які використовувались для розрахунку заробітної плати в Microsoft, а також понад 85 000 записів, пов’язаних з порталами Business Tools Support і Mixed Reality.

Наразі невідомо про випадки незаконного використання будь-яких даних з цих баз.

Джерело