Zhruba 38 milionů záznamů pocházejících z více než tisícovky webových aplikací využívající platformu Microsoftu portály Power Apps leželo volně na internetu. Uvedla to bezpečnostní firma Upguard, podle které za to mohl prostý fakt, že výchozí konfigurace portálů Power Apps byla slabá, takže se k datum mohl prakticky kdokoliv dostat.

Power Apps je sada nástrojů Microsoftů, pomocí kterých můžete vytvářet vlastní aplikace pro web či mobilní zařízení i bez znalosti programování. K dispozici je hromada šablon, konektorů a dalších modulů, ze kterých si poskládáte, po čem vaše srdce touží. Celá platforma je určena především pro podnikové zákazníky a ti ji skutečně hojně využívají.

Některé aplikace vytvořené pomocí Power Apps využívají tzv. portály, které slouží k vytvoření externích webů, skrze které se k interním firemním datům mohou dostat i uživatelé mimo organizaci. A zde nastal problém. Ačkoliv přístup měl být soukromý, u mnoha portálů nebyl – jak zjistil Upguard, ve výchozí konfiguraci byly portály veřejné a kdokoliv se přes ně mohl k datům dostat.

Ohrožena takto byla citlivá data včetně rodných čísel, domovních adres, telefonních čísel a covidových informací – údajů o očkování, trasování potenciálních kontaktů apod. Mezi postiženými organizacemi byl zdravotní úřad amerického státu Indiana, ale i letecká společnost American Airlines nebo Ford.

Upguard problém poprvé začal zkoumal v květnu letošního roku, koncem června o něm informoval Microsoft, který nejdříve zkoumal, zda jde o chybu/poruchu, načež dospěl k názoru, že portály byly jednoduše od začátku špatně navržené a celý systém opravil. Data už si zabezpečily i firmy, jež je měly obnažené.

Konec tak vypadá, že bude šťastný, dosud nejsou zprávy o tom, že by nezabezpečená data někdo odcizil. Pocítil by to i sám Microsoft, protože mezi 38 miliony záznamů bylo i 332 tisíc emailových adres jeho zaměstnanců a identifikačních čísel, které se používají k vyplácení mzdy.