A Microsoft Power Apps adatszivárgása 38 millió emberrekordot fed fel

Az UpGuard kiberbiztonsági cég szerint 38 millió ember nyilvántartása került ki az internetre.

UpGuard megállapításait egy blogbejegyzésben hozta nyilvánosságra felfedte, hogy a Microsoft Power Apps platformján létrehozott alkalmazások nem megfelelő engedélybeállításokkal rendelkeztek, ami a hatalmas szivárgáshoz vezetett.

Az adattípusok forrásonként változnak, de magukban foglalják a COVID-19 elleni oltási állapotokat, társadalombiztosítási számokat, telefonszámokat, valamint több millió teljes nevet és e-mail-címet. Az UpGuard azóta értesítette a kiszivárogtatás által érintett 47 különböző vállalatot és kormányzati szervet.

Ezek közé tartozik az Indiana Egészségügyi Minisztérium, a New York-i állami iskolarendszer, az American Airlines és a Microsoft.

A Power Apps egy olyan szolgáltatás és platform, amely lehetővé teszi az ügyfelek számára, hogy saját alkalmazásokat készítsenek, és olyan alkalmazásprogramozási felületeket (API-kat) kínál, amelyek lehetővé teszik ezeknek a szervezeteknek az általuk gyűjtött adatok felhasználását. Az ezeken az API-kon keresztül szerzett információk azonban alapértelmezés szerint nyilvánosak, és ha az adatvédelmi beállítások nincsenek engedélyezve, a névtelen felhasználók szabadon hozzáférhetnek ezekhez az adatokhoz.

A Microsoft két javítást vezetett be a probléma orvoslására: táblázat engedélyei alapértelmezetté váltak, és a új eszköz hozzá lett adva, hogy segítsen a felhasználóknak öndiagnosztizálni alkalmazásaikat, hogy megtalálják a biztonsági hibákat.

A cég továbbra is azt javasolja, hogy a Microsoft hajtson végre „kódmódosításokat” a platformon, hogy biztosítsa az adatszivárgás megismétlődését.

Az UpGuard abban a reményben tette közzé megállapításait, hogy a technológiai iparág vezetői tanuljanak ebből a hatalmas kiszivárogtatásból, és segítsenek enyhíteni a jövőbeni incidenseket.