Datenleck in Microsoft Power Apps legt die Aufzeichnungen von 38 Millionen Menschen offen

Laut der Cybersicherheitsfirma UpGuard sind die Aufzeichnungen von 38 Millionen Menschen online durchgesickert.

UpGuard veröffentlichte seine Ergebnisse in einem Blogbeitrag Dies enthüllte, dass Apps, die auf der Power Apps-Plattform von Microsoft erstellt wurden, falsche Berechtigungseinstellungen hatten, was zu dem massiven Leck führte.

Die Datentypen variieren je nach Quelle, umfassen jedoch den COVID-19-Impfstatus, Sozialversicherungsnummern, Telefonnummern und Millionen von vollständigen Namen und E-Mail-Adressen. UpGuard hat seitdem die 47 verschiedenen Unternehmen und Regierungsstellen benachrichtigt, die von dem Leck betroffen waren.

Zu diesen Einrichtungen gehören das Gesundheitsministerium von Indiana, das öffentliche Schulsystem von New York City, American Airlines und Microsoft.

Power Apps ist ein Dienst und eine Plattform, die es Kunden ermöglicht, ihre eigenen Apps zu erstellen, und bietet Anwendungsprogrammierschnittstellen (APIs), die es diesen Organisationen ermöglichen, die von ihnen gesammelten Daten zu verwenden. Die über diese APIs erhaltenen Informationen werden jedoch standardmäßig öffentlich gemacht und anonyme Benutzer können frei auf diese Daten zugreifen, sofern keine Datenschutzeinstellungen aktiviert sind.

Microsoft hat zwei Fixes implementiert, um das Problem zu beheben: Tabellenberechtigungen als Standard festgelegt wurden, und a neues Werkzeug wurde hinzugefügt, um Benutzern zu helfen, ihre Apps selbst zu diagnostizieren, um Sicherheitslücken zu finden.

Das Unternehmen empfiehlt Microsoft weiterhin, „Codeänderungen“ an der Plattform vorzunehmen, um sicherzustellen, dass eine Datenverletzung nicht erneut vorkommt.

UpGuard veröffentlichte seine Ergebnisse in der Hoffnung, dass führende Unternehmen der Technologiebranche aus diesem massiven Leck lernen und dazu beitragen, zukünftige Vorfälle abzumildern.