Около 38 миллионов записей с конфиденциальной информацией, хранящихся в сервисе Microsoft, были уязвимы в течение года (но, вероятно, не были слиты).
Среди 47 пострадавших организаций были American Airlines, Ford, JB Hunt, многие госучреждения США, а также сам Microsoft. По данным UpGuard, использование настроек по умолчанию с API-интерфейсами OData означало, что данные открыты и к ним можно получить анонимный доступ.
С одной стороны, техническая документация говорила в точности то, что получаемые посредством OData данные открыты для просмотра. С другой стороны, предупреждений в документации оказалось недостаточно для того, чтобы избежать серьезных последствий неправильной настройки протокола OData для порталов Power Apps.
Item 1 of 2
Скриншот документации от 7 августа
Возможность публичного доступа чётко обозначена.
В результате Microsoft внесла изменения в Power Apps, отныне данные недоступны. Когда утечка была обнаружена, Microsoft предложила пострадавшим поменять настройки самостоятельно. В итоге компания сделала все, что могла — предоставила пользователям инструменты для самостоятельной диагностики своих порталов Power Apps и добавила предупреждение для разработчиков как в документацию, так и в среду разработки.
Упоминание потенциальной уязвимости всплывало на форуме Power Apps годом ранее. Впрочем, тогда эта новость не вызвала резонанса — всё обсуждалось в рамках документации, такое поведение системы и было задумано.
