Η διαρροή δεδομένων στο Microsoft Power Apps αποκαλύπτει τα αρχεία 38 εκατομμυρίων ανθρώπων

Τα αρχεία 38 εκατομμυρίων ανθρώπων έχουν διαρρεύσει στο διαδίκτυο, σύμφωνα με την εταιρεία κυβερνοασφάλειας UpGuard.

UpGuard αποκάλυψε τα ευρήματά του σε ανάρτηση ιστολογίου αποκαλύπτοντας ότι οι εφαρμογές που δημιουργήθηκαν στην πλατφόρμα Power Apps της Microsoft είχαν ακατάλληλες ρυθμίσεις αδειών, γεγονός που οδήγησε στη μαζική διαρροή.

Οι τύποι δεδομένων διαφέρουν μεταξύ των πηγών, αλλά περιλαμβάνουν καταστάσεις εμβολιασμού κατά του COVID-19, αριθμούς κοινωνικής ασφάλισης, αριθμούς τηλεφώνου και εκατομμύρια πλήρη ονόματα και διευθύνσεις ηλεκτρονικού ταχυδρομείου. Η UpGuard έχει ειδοποιήσει έκτοτε τις 47 διαφορετικές εταιρείες και κυβερνητικές οντότητες που επηρεάστηκαν από τη διαρροή.

Αυτές οι οντότητες περιλαμβάνουν το Υπουργείο Υγείας της Ιντιάνα, το δημόσιο σχολικό σύστημα της Νέας Υόρκης, την American Airlines και τη Microsoft.

Το Power Apps είναι μια υπηρεσία και μια πλατφόρμα που επιτρέπει στους πελάτες να δημιουργούν τις δικές τους εφαρμογές και προσφέρει διεπαφές προγραμματισμού εφαρμογών (API) που επιτρέπουν σε αυτούς τους οργανισμούς να χρησιμοποιούν τα δεδομένα που συλλέγουν. Ωστόσο, οι πληροφορίες που λαμβάνονται μέσω αυτών των API δημοσιοποιούνται από προεπιλογή και, εκτός εάν ενεργοποιηθούν οι ρυθμίσεις απορρήτου, οι ανώνυμοι χρήστες μπορούν να έχουν ελεύθερη πρόσβαση σε αυτά τα δεδομένα.

Η Microsoft έχει εφαρμόσει δύο επιδιορθώσεις για να διορθώσει το πρόβλημα: δικαιώματα πίνακα έχουν τεθεί ως προεπιλογή και α νέο εργαλείο έχει προστεθεί για να βοηθήσει τους χρήστες να κάνουν αυτοδιάγνωση των εφαρμογών τους για να εντοπίσουν τυχόν ελαττώματα ασφαλείας.

Η εταιρεία εξακολουθεί να συνιστά στη Microsoft να εφαρμόσει «αλλαγές κώδικα» στην πλατφόρμα για να διασφαλίσει ότι δεν θα συμβεί ξανά παραβίαση δεδομένων.

Η UpGuard δημοσίευσε τα ευρήματά της με την ελπίδα ότι οι ηγέτες στον κλάδο της τεχνολογίας θα μάθουν από αυτή τη μαζική διαρροή και θα βοηθήσουν στον μετριασμό μελλοντικών περιστατικών.