Dane 38 milionów osób wyciekły do sieci, według firmy UpGuard zajmującej się cyberbezpieczeństwem.
UpGuard ujawnił swoje ustalenia w poście na blogu ujawniając, że aplikacje utworzone na platformie Power Apps firmy Microsoft miały niewłaściwe ustawienia uprawnień, co doprowadziło do masowego wycieku.
Typy danych różnią się w zależności od źródła, ale obejmują stany szczepień przeciwko COVID-19, numery ubezpieczenia społecznego, numery telefonów oraz miliony pełnych imion i nazwisk oraz adresów e-mail. UpGuard od tego czasu powiadomił 47 różnych firm i instytucji rządowych, które zostały dotknięte wyciekiem.
Te podmioty obejmują Departament Zdrowia stanu Indiana, system szkół publicznych w Nowym Jorku, American Airlines i Microsoft.
Power Apps to usługa i platforma, która umożliwia klientom tworzenie własnych aplikacji i oferuje interfejsy programowania aplikacji (API), które umożliwiają tym organizacjom korzystanie z gromadzonych danych. Jednak informacje uzyskane za pomocą tych interfejsów API są domyślnie upubliczniane i jeśli nie są włączone ustawienia prywatności, anonimowi użytkownicy mogą swobodnie uzyskiwać dostęp do tych danych.
Microsoft wdrożył dwie poprawki, aby rozwiązać ten problem: uprawnienia do tabel zostały ustawione jako domyślne, a nowe narzędzie zostało dodane, aby pomóc użytkownikom w samodzielnym diagnozowaniu ich aplikacji w celu znalezienia wszelkich luk w zabezpieczeniach.
Firma nadal zaleca, aby firma Microsoft zaimplementowała „zmiany w kodzie” na platformie, aby zapewnić, że naruszenie danych się nie powtórzy.
UpGuard opublikował swoje odkrycia w nadziei, że liderzy branży technologicznej wyciągną wnioski z tego ogromnego wycieku i pomogą złagodzić przyszłe incydenty.
