La perdita di dati in Microsoft Power Apps espone 38 milioni di record di persone
Secondo la società di sicurezza informatica UpGuard, i record di 38 milioni di persone sono trapelati online.
UpGuard ha rivelato i suoi risultati su un post sul blog rivelando che le app create sulla piattaforma Power Apps di Microsoft avevano impostazioni di autorizzazione improprie, il che ha portato alla massiccia perdita.
I tipi di dati variano a seconda delle fonti, ma includono gli stati di vaccinazione COVID-19, i numeri di previdenza sociale, i numeri di telefono e milioni di nomi completi e indirizzi e-mail. Da allora UpGuard ha notificato le 47 diverse società ed enti governativi interessati dalla fuga di notizie.
Queste entità includono il Dipartimento della salute dell'Indiana, il sistema scolastico pubblico di New York City, American Airlines e Microsoft.
Power Apps è un servizio e una piattaforma che consente ai clienti di creare le proprie app e offre interfacce di programmazione delle applicazioni (API) che consentono a queste organizzazioni di utilizzare i dati che raccolgono. Tuttavia, le informazioni ottenute tramite queste API sono rese pubbliche per impostazione predefinita e, a meno che non siano abilitate le impostazioni sulla privacy, gli utenti anonimi possono accedere liberamente a questi dati.
Microsoft ha implementato due correzioni per rimediare al problema: permessi della tabella sono stati resi predefiniti, e a nuovo strumento è stato aggiunto per aiutare gli utenti ad autodiagnosticare le proprie app per trovare eventuali falle di sicurezza.
L'azienda raccomanda ancora che Microsoft implementi "modifiche al codice" sulla piattaforma per garantire che una violazione dei dati non si ripeta.
UpGuard ha pubblicato i suoi risultati nella speranza che i leader del settore tecnologico imparino da questa massiccia perdita e aiutino a mitigare gli incidenti futuri.