Microsoft PowerAppsのデータ漏えいにより3800万人の記録が公開される

サイバーセキュリティ会社のUpGuardによると、3800万人の記録がオンラインで漏洩しています。

UpGuard その調査結果をブログ投稿で開示しました MicrosoftのPowerAppsプラットフォームで作成されたアプリの権限設定が不適切であり、大規模なリークが発生したことが明らかになりました。

データタイプはソースによって異なりますが、COVID-19ワクチン接種状況、社会保障番号、電話番号、数百万の氏名と電子メールアドレスが含まれます。 その後、UpGuardは、リークの影響を受けた47の異なる企業および政府機関に通知しました。

これらのエンティティには、インディアナ州保健局、ニューヨーク市の公立学校システム、アメリカン航空、およびマイクロソフトが含まれます。

Power Appsは、顧客が独自のアプリを作成できるようにするサービスおよびプラットフォームであり、これらの組織が収集したデータを使用できるようにするアプリケーションプログラミングインターフェイス（API）を提供します。 ただし、これらのAPIを介して取得した情報はデフォルトで公開されており、プライバシー設定が有効になっていない限り、匿名ユーザーはこのデータに自由にアクセスできます。

Microsoftは、問題を解決するために2つの修正を実装しました。 テーブルのアクセス許可 デフォルトになり、 新しいツール ユーザーがアプリを自己診断してセキュリティ上の欠陥を見つけるのに役立つように追加されました。

同社は、データ侵害が二度と起こらないようにするために、Microsoftがプラットフォームに「コード変更」を実装することを引き続き推奨しています。

UpGuardは、テクノロジー業界のリーダーがこの大規模なリークから学び、将来のインシデントの軽減に役立つことを期待して、調査結果を投稿しました。