Tapis zināms, ka aptuveni 38 miljoni ierakstu no tūkstošiem tīmekļa lietotņu, kas izmanto “Microsoft Power Apps” platformu, nonākuši tiešsaistē. Starp šiem ierakstiem atrodami arī ar Covid-19 kontaktu izsekošanu saistīti dati, datu bāzes, kurās glabājas informācija par vakcinēto mājas adresi, tālruņu numuru, vakcinācijas statusu.
Šī incidenta rezultātā noplūduši arī vairāku lielo kompāniju, tostarp “American Airlines” un “Ford”, dažādu veselības iestāžu, Ņujorkas skolu dati, 332 000 e-pasta adrešu un “Microsoft” darbinieku ID, kas tiek izmantoti algu aprēķināšanai, kā arī vairāk nekā 39 000 ierakstu no portāliem, kas saistīti ar “Microsoft Mixed Reality”. Uz šo brīdi problēma jau teju atrisināta.
Pakalpojuma “Power Apps” mērķis ir atvieglot tīmekļa un mobilo lietotņu izveidi. Tas izstrādātājiem piedāvā lietojumprogrammu saskarnes (API), ko var izmantot ar saviem datiem. Taču drošības uzņēmums “Upguard” atklāja, ka, izmantojot šīs API, dati pēc noklusējuma kļūst publiski pieejami. Lai informācija paliktu privāta, bija nepieciešama manuāla pārkonfigurācija, kas acīmredzot netika izdarīts.
“Upguard” pētnieki šo problēmu sāka pētīt maijā. Viņi uzgāja datus no daudzām “Power Apps” lietotnēm, kam it kā vajadzēja būt privātiem, bet tie tomēr bijuši ikvienam publiski pieejami. 24. jūnijā “Upguard” “Microsoft” drošības resursu centram nosūtīja ziņojumu par šo incidentu. “Microsoft” analītiķis 29. jūnijā paziņoja, ka lieta ir slēgta, jo “viss notiek, kā tam jābūt”, dodot mājienu, ka pašiem izstrādātājiem jāpārbauda savi iestatījumi.
Augusta sākumā šai problēmai nu rasts risinājums – “Microsoft” norāda, ka “Power Apps” pēc noklusējuma tagad saglabās datus privātus, kad izstrādātāji izmantos API. Turklāt uzņēmums arī izlaidis rīku izstrādātājiem, kas ļaus pārbaudīt viņu “Power Apps” iestatījumus.
