Datalek in Microsoft Power Apps onthult records van 38 miljoen mensen

Volgens cyberbeveiligingsbedrijf UpGuard zijn de gegevens van 38 miljoen mensen online gelekt.

UpGuard maakte zijn bevindingen bekend in een blogpost onthullend dat apps die zijn gemaakt op het Power Apps-platform van Microsoft onjuiste toestemmingsinstellingen hadden, wat leidde tot het enorme lek.

De gegevenstypen variëren tussen bronnen, maar omvatten COVID-19-vaccinatiestatussen, burgerservicenummers, telefoonnummers en miljoenen volledige namen en e-mailadressen. UpGuard heeft inmiddels de 47 verschillende bedrijven en overheidsinstanties op de hoogte gesteld die door het lek zijn getroffen.

Deze entiteiten omvatten het Indiana Department of Health, het openbare schoolsysteem van New York City, American Airlines en Microsoft.

Power Apps is een service en platform waarmee klanten hun eigen apps kunnen maken en biedt Application Programming Interfaces (API's) waarmee deze organisaties de verzamelde gegevens kunnen gebruiken. De informatie die via deze API's wordt verkregen, wordt echter standaard openbaar gemaakt, en tenzij privacy-instellingen zijn ingeschakeld, hebben anonieme gebruikers vrijelijk toegang tot deze gegevens.

Microsoft heeft twee oplossingen geïmplementeerd om het probleem te verhelpen: tabelrechten standaard zijn gemaakt, en a nieuwe tool is toegevoegd om gebruikers te helpen hun apps zelf te diagnosticeren om eventuele beveiligingsfouten te vinden.

Het bedrijf beveelt Microsoft nog steeds aan om "codewijzigingen" in het platform door te voeren om ervoor te zorgen dat een datalek niet opnieuw gebeurt.

UpGuard plaatste zijn bevindingen in de hoop dat leiders in de tech-industrie leren van dit enorme lek en toekomstige incidenten helpen verminderen.