米セキュリティ企業のUpGuardは8月23日(現地時間)、米Microsoftの「Power Appsポータル」で作成された47の組織のアプリで、合計3800万件に上る個人情報の漏えいがあったと発表した。
UpGuardは5月にこの問題を発見し、Microsoftおよびデータを漏えいさせていた企業には通知済み。アプリの脆弱性のせいではなく、ある機能を初期設定のまま使うとホストされているデータが公開されてしまう仕様になっていたためだ。
Power Appsは、Microsoftが「だれでもローコードのアプリをすばやく構築して共有できる」と謳う、クラウドホスト型BI(ビジネスインテリジェンス)アプリ作成スイート。Power Appsポータルは、外部に公開するウェブサイトを作成できるツール。
今回の情報漏えいは、Power Appsポータルのリストからデータを取得するためのOData APIを有効にすると、初期設定で匿名ユーザーでもリストデータに自由にアクセスできる仕様になっていたことが原因とUpGuardは指摘する。
Microsoftの公式ドキュメントには、設定を誤るとODataのフィードが公開されるという警告はあるが、Microsoft自身の複数のアプリでも設定が誤っていたとUpGuardは指摘する。
47組織には、American Airlines、Ford、ニューヨーク市交通局、Microsoftの複数のサイトが含まれ、新型コロナウイルス感染症の連絡先追跡に使用される個人情報、新型コロナワクチン接種の予約、求職者の社会保障番号、従業員ID、数百万の名前と電子メールアドレスなどにアクセスできた。
これらのデータが悪用された形跡は確認されていないとしている。
Microsoftはこの問題は脆弱性ではないとしているが、ユーザーがミスしないよう初期設定を変更し、ユーザーがPower Appsポータルを自己診断するためのツールを提供した。
【訂正:2021年8月24日午後9時50分 Power Appsの初期設定としていましたが、Power Appsポータルの初期設定、に修正しました。】
関連記事
関連リンク
からの記事と詳細 ( Microsoftのローコードアプリ開発ツールPower Appsポータルの設定ミスで約3800万件の個人情報漏えい - ITmedia )
https://ift.tt/2WmAz2k
No comments:
Post a Comment