Проблема торкнулася організацій, які користуються сервісом для створення бізнес-додатків Microsoft Power Apps. Витік називають одним з наймасштабніших за останній час.
Цікаво Кого чекає Україна: які компанії мають офіційні представництва, а про які ми лише мріємо
Що сталося
- Компанія Microsoft, як виявилось, неправильно налаштувала Power Apps, внаслідок чого той не перевіряв права користувача при доступі до даних через інтерфейс Open Data Protocol. Тому кожен охочий міг витягти дані з баз, які організації зберігають на серверах Microsoft.
- Ці бази, зокрема, дозволяють дізнатись повні імена працівників компаній та їхніх клієнтів, поштові і домашні адреси, номери телефонів, номери карт соціального страхування та іншу особисту інформацію.
- Загалом доступними були 38 мільйонів записів.
Але на цьому історія не скінчилась. Спеціаліст UpGuard, який виявив проблему, звернувся з нею до Microsoft 24 червня 2021. Але компанія раптом заявила, що ніякої проблеми в цьому немає – все працює саме так, як задумувалось, і відповідає технічній документації.
Тому наступним кроком стало звернення безпосередньо до самих організацій, які користуються послугами сервісу. У результаті постраждалі сторони спочатку відключали доступи до баз даних на своїй стороні, а пізніше змусили Microsoft увімкнути за замовчуванням перевірку прав користувача Open Data Protocol, а також виділити кольором попередження про небезпеку надання доступу до даних без авторизації.
Витік зачепив державні органи Індіани, Меріленда і Нью-Йорка, а також приватні компанії, включаючи таких гігантів, як American Airlines, Ford, JB Hunt і навіть саму Microsoft. Наприклад, у загальному доступі опинилися 332 000 email-адрес і ID співробітників, які використовувались для розрахунку заробітної плати в Microsoft, а також понад 85 000 записів, пов'язаних з порталами Business Tools Support і Mixed Reality.
Наразі невідомо про випадки незаконного використання будь-яких даних з цих баз.