Únik dat v Microsoft Power Apps odhaluje rekordy 38 milionů lidí

Podle kybernetické bezpečnostní firmy UpGuard unikly online záznamy 38 milionů lidí.

UpGuard zveřejnila svá zjištění na blogu odhalující, že aplikace vytvořené na platformě Microsoft Power Apps měly nesprávná nastavení oprávnění, což vedlo k masivnímu úniku.

Typy dat se mezi zdroji liší, ale zahrnují stavy očkování proti COVID-19, čísla sociálního zabezpečení, telefonní čísla a miliony celých jmen a e-mailových adres. UpGuard od té doby informoval 47 různých společností a vládních subjektů, které byly zasaženy únikem informací.

Mezi tyto subjekty patří Ministerstvo zdravotnictví státu Indiana, systém veřejných škol v New Yorku, American Airlines a Microsoft.

Power Apps je služba a platforma, která umožňuje zákazníkům vytvářet vlastní aplikace a nabízí rozhraní API, která těmto organizacím umožňují používat data, která shromažďují. Informace získané prostřednictvím těchto rozhraní API jsou však standardně zveřejňovány, a pokud není povoleno nastavení ochrany osobních údajů, mohou anonymní uživatelé k těmto údajům volně přistupovat.

Společnost Microsoft implementovala dvě opravy k vyřešení problému: oprávnění k tabulce byly nastaveny jako výchozí a a nový nástroj byla přidána, aby pomohla uživatelům samostatně diagnostikovat své aplikace a najít jakékoli bezpečnostní chyby.

Společnost stále doporučuje, aby společnost Microsoft implementovala „změny kódu“ na platformě, aby se zajistilo, že k narušení dat již nedojde.

Společnost UpGuard zveřejnila svá zjištění v naději, že se lídři v technologickém průmyslu z tohoto masivního úniku poučí a pomohou zmírnit budoucí incidenty.