Narzędzie Microsoftu przypadkowo ujawniło 38 milionów zapisów danych

Narzędzie Microsoftu Power Apps jest wykorzystywane przez wiele znanych firm, między innymi do zarządzania wewnętrznymi bazami danych czy łatwego tworzenia aplikacji sieciowych bądź mobilnych. Odnaleziono w nim pewien problem, który doprowadził do przypadkowego ujawnienia 38 milionów zapisów danych. Wśród upublicznionych danych znajdowały się adresy e-mail i hasła, a także między innymi informacje związane z zapisami na szczepienie na COVID-19 czy śledzeniem kontaktów między osobami potencjalnie zarażonymi.

Wszystko przez ustawienie, które domyślnie upubliczniało dane

Wyciek zauważyła firma zajmująca się cyberbezpieczeństwem UpGuard, która zaczęła badać go w maju tego roku. Problem dotknął między innymi takie firmy, jak American Airlines, Ford czy J.B. Hunt. Upublicznione zostały także informacje zgromadzone przez niektóre instytucje publiczne, takie jak pewne szkoły z Nowego Jorku czy Departament Zdrowia stanu Maryland. Ogółem mówiąc, ujawniono przypadkowo 38 milionów zapisów danych, a więc niemało. Jak wspomniano powyżej, były to w wielu przypadkach dane bardzo wrażliwe i takie, które w niepowołanych rękach mogłyby wyrządzić sporo szkód.

Z tego, co obecnie wiadomo, problem został rozwiązany i na razie nic nie wskazuje na to, aby faktycznie ktoś ze złymi zamiarami zauważył ten problem i na nim skorzystał. A o co dokładnie chodzi w tym problemie? Otóż, poza narzędziami do tworzenia aplikacji, Microsoft Power Apps daje dostęp także do gotowych interfejsów programowania. Problem w tym, że przy włączaniu API wszystkie wykorzystywane dane domyślnie stawały się publiczne, a ustawić je jako prywatne trzeba było ręcznie – czego wiele firm, jak widać nawet bardzo dużych, nie zrobiło.

Kiedy analitycy UpGuard to odkryli, zgłosili sprawę Microsoftowi. Trzeba wskazać, że w dowolnej chwili którakolwiek z firm dotkniętych problemem mogła sama sprawdzić swoje ustawienia i rozwiązać problem. Jednak Greg Pollock z UpGuard podkreśla, że na firmach dostarczających usługi związane z bazami danych ciąży odpowiedzialność, aby chronić użytkowników – w tym przed ich własną nieostrożnością. Podobnie wypowiadają się inni eksperci.

Bezpieczne ustawienia domyślne mają znaczenie. Kiedy w systemach internetowych zbudowanych przy użyciu określonej technologii, które ciągle są błędnie skonfigurowane, pojawia się wzorzec, coś jest bardzo nie tak. Jeśli programiści z różnych branż i środowisk technicznych nadal popełniają te same błędy na platformie, w centrum uwagi powinien znajdować się twórca tej platformy – Kenn White, dyrektor Open Crypto Audit Project

Teraz dane są domyślnie prywatne, tak jak w innych podobnych narzędziach

Microsoft ogłosił, że dane przesyłane przez API (i ogółem wszystkie dane) w Power Apps będą teraz domyślnie ustawiane jako prywatne, a ich upublicznianie będzie procesem manualnym. Nie jest to nietypowe w branży, a przeciwnie.

Wiele dużych platform chmurowych, takich jak Amazon Web Services, Google Cloud Platform czy… Microsoft Azure, a więc inny produkt Microsoftu, domyślnie utajnia dane. Nie oznacza to jednak, że w ich przypadku również nie zdarzają się wpadki. W 2017 roku okazało się, że przypadkiem upubliczniono dane 198 milionów amerykańskich wyborców, nie z powodu ataku hakerów, a właśnie złego ustawienia bazy danych na serwerze Amazona.

Co o tym wszystkim sądzicie? Uważacie, że wina leży tylko po stronie firm, które nie zmieniły ustawień prywatności, tylko po stronie Microsoftu, a może częściowo po jednej, a częściowo po drugiej? Koniecznie dajcie znać w komentarzach!