В сети оказались данные 38 млн пользователей сервиса Microsoft Power Apps, который позволяет создавать приложения без знаний программирования. Из-за неправильных настроек конфиденциальности любой мог просмотреть имена, адреса электронной почты, номера социального страхования, прививки от COVID-19 и прочую информацию.
Как сообщает Wired, пострадали как минимум 47 государственных и частных организаций. Среди них есть такие гиганты, как American Airlines, Ford, JB Hunt и сама Microsoft.
На проблему обратил внимание специалист по безопасности компании UpGuard Грег Поллок еще в мае. Оказалось, что Power Apps по умолчанию делает данные открытыми и не проверяет права доступа. В Microsoft сообщили об уязвимости, но компания отказалась признавать это проблемой — Грегу объяснили, что так и задумано, а затем отправили читать инструкции по работе с сервисом.
Предупреждение, которое Microsoft добавила после того, как об истории стало известно журналистам
Вскоре сотрудники UpGuard стали рассылать сообщения пострадавшим компаниям, а те начали закрывать доступ к своим базам данных. После огласки в СМИ Microsoft изменила настройки по умолчанию и включила проверку доступа, а также выделила розовым цветом предупреждение о небезопасности отключения этой опции в инструкции.