Bezpieczeństwo cyfrowe. Ujawnione dane 38 mln osób

Zespół UpGuard Research ujawnił, że dane 38 milionów ludzi zostały ujawnione wskutek złej konfiguracji Microsoft PowerApps. Dane osobowe obejmowały między innymi status szczepień COVID, nazwiska i adresy pacjentów.

UpGuard opublikował w poniedziałek sprawozdanie z wielomiesięcznego dochodzenia, które wykazało, że poufne dane użytkowników w sieci zostały ujawnione – ale nie zostały naruszone – zanim problem został rozwiązany.

“Rodzaje danych różniły się w zależności od portali, w tym dane osobowe wykorzystywane do śledzenia kontaktów COVID-19, szczepienia przeciwko COVID-19, numery ubezpieczenia społecznego dla kandydatów do pracy, identyfikatory pracowników oraz miliony nazwisk i adresów e-mail” – czytamy w raporcie.

UpGuard powiadomił 47 podmiotów o ujawnieniu danych osobowych, w tym organy rządowe, takie jak Indiana, Maryland i Nowy Jork, oraz firmy prywatne, takie jak American Airlines, JB Hunt i Microsoft. Łącznie ujawnione dane obejmowały 38 mln rekordów. 

Zła konfiguracja naraziła bezpieczeństwo danych milionów ludzi

Oprogramowanie Microsoft PowerApps, służy tworzeniu interaktywnych stron internetowych i aplikacji mobilnych. Jak wynika z dochodzenia zespołu UpGuard, z prozaicznej przyczyny, wrażliwe dane internautów zostały upublicznione wskutek niewłaściwej konfiguracji aplikacji.

Jedną z najważniejszych funkcji Power Apps jest możliwość uzyskiwania dostępu do „Twoich danych anonimowo lub poprzez uwierzytelnianie komercyjne”. Liczba portali ujawniających poufne informacje wskazuje jednak, że ryzyko związane z tą funkcją – prawdopodobieństwo i wpływ jej błędnej konfiguracji – nie zostało odpowiednio docenione przez inżynierów – wskazuje UpGuard.

Jednak dostawca oprogramowania w dokumentacji produktu dokładnie opisuje, co się stanie, jeśli aplikacja zostanie skonfigurowana w ten, a nie inny sposób, wobec czego producentowi nie można nic zarzucić.

Praktyka jednak pokazała, że wiele organów rządowych zgłosiło przeprowadzanie przeglądów bezpieczeństwa swoich aplikacji bez zidentyfikowania tego problemu, prawdopodobnie dlatego, że nigdy nie zostało to odpowiednio nagłośnione jako obawa o zabezpieczenie danych.

Zespół UpGuard zgłosił zdiagnozowany problem zarówno do zarządzających wspomnianymi stronami i aplikacjami jak i do wydawcy oprogramowania. Microsoft poinformował strony poszkodowane i wydał w międzyczasie narzędzie do sprawdzania portali Power Apps i planowanych zmian w produkcie, dzięki czemu uprawnienia dostępu do danych będą domyślnie wymuszane. Co ważniejsze, nowo utworzone funkcje Power Apps będą miały domyślnie wyłączoną opcję ekspozycji danych użytkowników anonimowo. 

Zgłoś naruszenie/Błąd