Некорректная настройка Microsoft Power Apps привела к утечке 38 млн пользовательских записей

38 млн записей конфиденциальных данных 47 государственных организаций и компаний, включая Microsoft, оказались в общем доступе в интернете из-за некорректной конфигурации сервиса Microsoft Power Apps.

По словам специалистов из компании UpGuard, API OData для портала Power Apps предлагает анонимно доступные записи базы данных, которые включают персональную информацию. Это побудило экспертов взглянуть на другие порталы Power Apps и они обнаружили более тысячи некорректно сконфигурированных приложений, предоставляющих любому пользователю доступ к данным.

Подобные приложения использовались в государственных и муниципальных органах власти в Индиане, Мэриленде и Нью-Йорке, а также частных компаниях, таких как American Airlines, Ford, JB Hunt и Microsoft. В настоящее время нет свидетельств неправомерного использования информации. Данные были общедоступны до тех пор, пока находка UpGuard не побудила другие компании отреагировать.

Power Apps предоставляет возможность создавать пользовательские бизнес-приложения, которые взаимодействуют с данными из Microsoft Dataverse или других сетевых и локальных источников данных, таких как SharePoint, Microsoft 365, Dynamics 365, SQL Server и пр. Через порталы Power Apps клиенты Microsoft могут создать общедоступный web-сайт для предоставления доступа к данным приложений.

Web-сайты получают данные из Power Apps через API-интерфейсы Open Data Protocol (OData). API использует «списки» Power Apps для визуализации списка записей базы данных. «Список» представляет собой запрос, сделанный к определенной таблице базы данных, в сочетании с дополнительными параметрами и атрибутами.

Как уточнила Microsoft в своей документации, для защиты списка необходимо настроить Table Permissions для таблицы, для которой отображаются записи, а также установить для логического значения Enable Table Permissions в записи списка значение «true». Как выяснили исследователи UpGuard, многие организации этого не сделали и списки на портале Power Apps стали доступными для всех пользователей.

Microsoft изучила отчет и пришла к выводу, что публикация данных в общем доступе является преднамеренным функционалом ее ПО и не представляет собой уязвимость.

Тем не менее, техногигант внес изменения в ПО Power Apps и теперь приложение по умолчанию будет хранить данные в приватном режиме. Компания также изменила свою страницу документации, которая ранее представляла рекомендации в фиолетовых полях примечаний, добавив розовое предупреждение: «Будьте осторожны при включении каналов OData без разрешений таблиц для конфиденциальной информации».