Datalæk i Microsoft Power Apps afslører 38 millioner menneskers optegnelser

Optegnelserne for 38 millioner mennesker er blevet lækket online, ifølge cybersikkerhedsfirmaet UpGuard.

UpGuard afslørede sine resultater på et blogindlæg afslørede, at apps oprettet på Microsofts Power Apps-platform havde ukorrekte tilladelsesindstillinger, hvilket førte til det massive læk.

Datatyperne varierer mellem kilder, men inkluderer COVID-19-vaccinationsstatusser, CPR-numre, telefonnumre og millioner af fulde navne og e-mailadresser. UpGuard har siden underrettet de 47 forskellige virksomheder og statslige enheder, der var berørt af lækagen.

Disse enheder omfatter Indiana Department of Health, New York Citys offentlige skolesystem, American Airlines og Microsoft.

Power Apps er en tjeneste og platform, der giver kunderne mulighed for at lave deres egne apps og tilbyder applikationsprogrammeringsgrænseflader (API'er), der giver disse organisationer mulighed for at bruge de data, de indsamler. Oplysningerne opnået gennem disse API'er er dog som standard offentliggjort, og medmindre privatlivsindstillinger er aktiveret, kan anonyme brugere frit få adgang til disse data.

Microsoft har implementeret to rettelser for at afhjælpe problemet: tabeltilladelser er blevet misligholdt, og en nyt værktøj er blevet tilføjet for at hjælpe brugere med at selvdiagnosticere deres apps for at finde eventuelle sikkerhedsfejl.

Firmaet anbefaler stadig, at Microsoft implementerer "kodeændringer" til platformen for at sikre, at et databrud ikke sker igen.

UpGuard offentliggjorde sine resultater i håbet om, at ledere i teknologiindustrien lærer af denne massive lækage og hjælper med at afbøde fremtidige hændelser.