多くの企業が Microsoft の Power App プラットフォームを使用していますが、デフォルトのセキュリティ設定が脆弱だったために、3,800 万件の機密データが何か月間も公開されたままになっていました。
Upguard が実施した調査では、懸念されるほどの数の Power App ユーザーがデータベースをセキュリティで保護していないことが判明しました。さらに調査を進めると、この問題はデフォルトのセキュリティ設定が弱いために発生し、ユーザーが手動で対処しなければデータが漏洩したままになっていることが判明しました。
によると報告書から有線、アメリカン航空、フォード、ニューヨーク市の公立学校、複数の州の新型コロナウイルス感染症接触追跡データベースなどの情報源からのデータが暴露されたままになっていた。 Upguard による最初の発見は 2021 年 5 月に行われましたが、Microsoft からの修正は 8 月まで完全に展開されませんでした。
「そのうちの 1 つがデータを公開するように誤って設定されているのを見つけました。そして、これは一度限りのことなのか、それともシステム的な問題なのか、これは聞いたことがないのではないかと考えました。」 UpGuard のサイバーリサーチ担当副社長である Greg Pollock は次のように述べています。 「Power Apps ポータル製品の仕組みのおかげで、調査を迅速に行うのは非常に簡単です。そして、これらの情報が大量に公開されていることがわかりました。それは途方もないことでした。」
Upguard は、非公開であるべき多数の Power App ポータルの調査を開始しました。Microsoft 製のアプリであっても構成が間違っていました。ただし、一般に公開されているにもかかわらず、データが侵害されたことは知られていません。
問題の核心はデフォルトのセキュリティ設定にあります。たとえば、Power App をセットアップして API を接続するとき、プラットフォームはデフォルトで、対応するデータをパブリックにアクセスできるようにします。
8 月のアップデートのおかげで、Power Apps はデータのプライベートを保つためのセキュリティ設定をデフォルトで設定します。 Upguard は、機密データを公開したままプラットフォームと通信するよう努めましたが、セキュリティ問題の規模が広すぎて、すべてのビジネスをカバーできませんでした。
「安全なデフォルト設定が重要です」と Open Crypto Audit Project のディレクター Kenn White 氏は言います。 「特定のテクノロジーを使用して構築された Web 対応システムに、設定が引き続き間違っているパターンが現れる場合、何かが非常に間違っています。さまざまな業界や技術的背景を持つ開発者がプラットフォーム上で同じ間違いを犯し続ける場合は、真っ向からスポットライトが当てられるべきです」そのプラットフォームの構築者です。」
流出したデータには、いくつかの Covid-19 接触追跡プラットフォーム、ワクチン接種の申し込み、求人応募ポータル、従業員データベースが含まれていました。社会保障番号から名前や住所に至るまで、あらゆる情報がオープンデータベースに残されました。
繰り返しになりますが、アップガードは、どのデータも侵害されたことは知られていないと述べています。
Microsoft Power App のセキュリティ設定の問題は、この分野の他の多くのプラットフォームの問題を反映しています。 Amazon や Google などの企業は、データ漏洩につながる脆弱なデフォルト設定に頻繁に対処してきました。