Ошибка настроек Microsoft Power Apps приводит к утечке персданных

Исследователи обнаружили, что из-за дефолтной конфигурации приложений, созданных с помощью Power Apps, персональные данные оказались в свободном доступе.

Каковы причины утечек персональных данных, собираемых компаниями? Иногда их сливают инсайдеры, иногда причина в целенаправленном взломе, но чаще всего источником проблем служат неправильно сконфигурированные сервисы или программы. Еще раз об этом напомнили исследователи из компании UpGuard, обнаружившие практически в свободном доступе персональные данные 38 миллионов человек. Всему виной — ошибка при конфигурации веб-приложений, созданных с помощью платформы Microsoft Power Apps. К счастью, злоумышленники, по всей видимости, не успели воспользоваться этой информацией.

Причина проблемы: неправильная конфигурация Power Apps

Платформа Microsoft Power Apps — это инструмент, благодаря которому компании могут быстро создавать приложения и веб-порталы, не вкладываясь в полноценную разработку. Платформа построена согласно принципу low-code (то есть она не требует написания программного кода как такового). На официальном сайте можно найти отзывы клиентов, которые рассказывают, как это здорово — иметь возможность превратить в реальность любую идею, не имея опыта в IT и программировании.

По большому счету, в этом и состоит корень проблемы: приложения создавались людьми не только без опыта в IT, но и не обращающими должного внимания на информационную безопасность. Исследователи нашли 47 компаний и правительственных учреждений, которые создавали при помощи Power Apps инструменты, служащие для сбора персональных данных. Вот только их создатели не посчитали важным изучить все доступные настройки.

Если не вдаваться в длинное техническое объяснение, платформа Power Apps позволяет создавать инструменты как для сбора данных, так и для обмена данными. Информация хранится в таблицах, и создатель приложения может управлять доступом к этим таблицам. По умолчанию эти разрешения были отключены, что, с одной стороны, облегчало совместное использование, но с другой — означало, что таблицы были общедоступными. Именно поэтому собранная информация могла быть видна посторонним лицам вне компании.

Как защитить компанию и данные клиентов от утечек

После того как исследователи рассказали об утечке, Microsoft изменила настройки по умолчанию — теперь при создании новых проектов, служащих для сбора данных, информация будет храниться таким образом, что посторонние не смогут получить к ней доступ. Однако созданные ранее инструменты все еще могут быть уязвимы, так что если Microsoft Power Apps используется в вашей компании, то имеет смысл тщательно изучить возможности по настройке доступа к таблицам, чтобы избежать утечек. Особенно если ваши приложения связаны со сбором и хранением персональных данных.

Но проблема на самом деле гораздо более масштабна. Power Apps — далеко не единственная low-code платформа, которую далекие от информационных технологий люди используют для создания сервисов, приложений и веб-сайтов. Зачастую это внутренние инструменты, которые иногда вообще не попадают в сферу внимания отделов безопасности. А между тем они могут содержать уязвимости в исходном коде, ошибки при интеграции с другими бизнес-процессами или, как в данном случае, быть неправильно настроенными.

Поэтому компаниям, использующим low-code платформы, мы рекомендуем:

• тщательно проверять имеющиеся настройки безопасности и конфиденциальности;
• ставить в известность сотрудников ИБ-отделов об использовании таких платформ в бизнес-процессах;
• при отсутствии собственных специалистов — обращаться к внешним экспертам.

01.09.2021