Az UpGuard kiberbiztonsági cég szerint 38 millió ember nyilvántartása került kiszivárogtatásra.
Az UpGuard egy blogbejegyzésben hozta nyilvánosságra megállapításait, amelyek felfedték, hogy a Microsoft Power Apps platformján létrehozott alkalmazások nem megfelelő engedélybeállításokkal rendelkeztek, ami hatalmas kiszivárgáshoz vezetett.
Az adattípusok forrásonként változnak, de magukban foglalják a COVID-19 elleni oltási állapotokat, társadalombiztosítási számokat, telefonszámokat, valamint több millió teljes nevet és e-mail-címet. Az UpGuard azóta értesítette a szivárgás által érintett 47 különböző vállalatot és kormányzati szervet.
Ezek az entitások közé tartozik az Indiana Egészségügyi Minisztérium, a New York-i állami iskolarendszer, az American Airlines és a Microsoft.
A Power Apps egy olyan szolgáltatás és platform, amely lehetővé teszi az ügyfelek számára, hogy saját alkalmazásokat készítsenek, és olyan alkalmazásprogramozási felületeket (API-kat) kínál, amelyek lehetővé teszik ezeknek a szervezeteknek az általuk gyűjtött adatok felhasználását. Az ezeken az API-kon keresztül szerzett információk azonban alapértelmezés szerint nyilvánosak, és ha az adatvédelmi beállítások nincsenek engedélyezve, a névtelen felhasználók szabadon hozzáférhetnek ezekhez az adatokhoz.
A Microsoft két javítást vezetett be a probléma orvoslására: a táblaengedélyek alapértelmezettek lettek, és egy új eszköz került hozzáadásra, amely segít a felhasználóknak az alkalmazásaik öndiagnosztizálásában, hogy megtalálják a biztonsági hibákat.
A cég továbbra is azt javasolja, hogy a Microsoft hajtson végre „kódmódosításokat” a platformon annak érdekében, hogy az adatszivárgás ne fordulhasson elő újra.
Az UpGuard abban a reményben tette közzé megállapításait, hogy a technológiai iparág vezetői tanulnak ebből a hatalmas kiszivárogtatásból, és segítenek enyhíteni a jövőbeni incidenseket.
