Microsoftのアプリ開発ツール「Power Apps」のデフォルトのアクセス権限設定により、3800万人分の個人情報データがオンライン上に公開されていたことがわかりました(The Verge)。
データには名前、メールアドレス、電話番号、社会保障番号、COVID-19ワクチン接種予約などの情報が含まれ、47の異なる企業や政府機関によって誤って公開されていたとのこと。ただしデータが悪用された形跡はなく、根本的な問題はMicrosoftによってすでに修正されています。
この問題は5月にセキュリティリサーチチーム「UpGuard」によって発見されました。UpGuardはPower Appsを使用している組織が、不適切なデータ権限を持つアプリを作成し、ユーザーのデータを危険な状態で露出していたと指摘しています。
Power Appsはコーディング経験がなくても、簡単なアプリやウェブサイトを構築することができるツールです。フォード、アメリカン航空、J.B.ハント、メリーランド州、ニューヨーク市、インディアナ州などの組織は、予防接種活動の組織化など、さまざまな目的でデータを収集するためにこのツールを利用していました。Power Appsはこのようなプロジェクトで必要となるデータを迅速に収集するためのツールを提供していますが、デフォルト設定では、これらの情報は一般にアクセス可能な状態になっていたそうです。
UpGuardによると、Microsoftは、アプリの権限を適切に設定しなかったユーザーの責任であるため、これは脆弱性ではないと説明しているようです。しかしPower Appsがコーディングの経験がほとんどないユーザーが使うことを想定しているのであれば、デフォルトでできる限り安全にしておくのが望ましかったのではないかと指摘されています。