Nhóm nghiên cứu UpGuard Research vừa tiết lộ: "Các kiểu dữ liệu bị lộ lọt ở các cổng là khác nhau, bao gồm thông tin cá nhân được sử dụng để theo dõi kết nối tình hình Covid-19, các cuộc hẹn tiêm chủng Covid-19, số an sinh xã hội cho người xin việc, ID nhân viên và hàng triệu tên cùng địa chỉ email".
Các cơ quan chính quyền bang như Indiana, Maryland và thành phố New York cùng các công ty tư nhân như American Airlines, Ford, J.B. Hunt và Microsoft được cho là đã bị ảnh hưởng. Trong số những thông tin nhạy cảm nhất bị lộ lọt có 332.000 địa chỉ email và ID nhân viên được các dịch vụ tính lương toàn cầu của Microsft sử dụng cũng như hơn 85.000 bản ghi liên quan tới hệ thống hỗ trợ kinh doanh (Business Tools Support) và các cổng thực tế hỗn hợp tăng cường (Mixed Reality).
Power Apps là một nền tảng phát triển do Microsoft hỗ trợ để xây dựng các ứng dụng kinh doanh tùy chỉnh theo phương pháp phát triển phần mềm low-code hoạt động trên thiết bị di động và web bằng cách sử dụng các mẫu dựng sẵn, ngoài ra còn cung cấp các API cho phép các ứng dụng khác truy nhập vào dữ liệu, bao gồm các tùy chọn để truy xuất và lưu giữ thông tin.
Công ty mô tả dịch vụ này là "một bộ các ứng dụng, dịch vụ và trình kết nối cũng như nền tảng dữ liệu, tạo môi trường phát triển nhanh để xây dựng các ứng dụng tùy chình cho các nhu cầu của doanh nghiệp".
Tuy nhiên, một cấu hình sai trong cách một cổng thông tin chia sẻ và lưu trữ dữ liệu có thể dẫn đến tình huống dữ liệu nhạy cảm bị truy nhập công khai, gây nguy cơ rò rỉ dữ liệu.
Các nhà nghiên cứu cho biết: "Những cổng Power Apps có các tùy chọn được xây dựng để chia sẻ dữ liệu, nhưng chúng cũng có các kiểu dữ liệu sẵn có vốn rất nhạy cảm. Trong các trường hợp như các trang đăng ký tiêm chủng Covid-19, có các loại dữ liệu được công khai như vị trí các điểm tiêm chủng, thời gian hẹn và dữ liệu nhạy cảm phải đặt ở chế độ riêng tư như thông tin nhận dạng cá nhân của những người được tiêm chủng".
UpGuard cho biết, họ đã thông báo cho Microsoft về vụ rò rỉ dữ liệu vào ngày 24/6/2021 để công ty xử lý vụ việc này. Với lý do là "do thiết kế", công ty đã có hành động để cảnh báo các khách hàng đám mây của chính phủ về vấn đề này sau khi có thêm một báo cáo lạm dụng do công ty bảo mật đệ trình vào ngày 15/7.
Ngoài ra, Microsoft đã phát hành một công cụ có tên là Portal Checker để phát hiện bất kỳ khả năng hiển thị nào phát sinh vì lý do sai cấu hình và đã tạo các bản cập nhật để "các cổng mới được tạo sẽ có các quyền bắt buộc đối với bảng được thực thi cho bất kỳ các biểu mẫu và danh sách cài đặt Enable Table Permissions".
Các nhà nghiên cứu lưu ý: "Mặc dù chúng tôi hiểu (và đồng ý với) quan điểm của Microsoft rằng vấn đề ở đây không hoàn toàn là một lỗ hổng phần mềm mà là một vấn đề về nền tảng yêu cầu thay đổi mã cho sản phẩm và do đó đi cùng một loạt các lỗ hổng bảo mật. Việc thay đổi sản phẩm theo các hành vi của người dùng là một giải pháp tốt hơn là gán toàn bộ việc mất dữ liệu là do là cấu hình sai của người dùng cuối, cho phép sự cố tiếp diễn và khiến người dùng cuối phải chịu rủi ro về an ninh mạng do xâm phạm dữ liệu"./.
