Datalekkasje i Microsoft Power Apps avslører 38 millioner menneskers poster

Opptegnelsene til 38 millioner mennesker har blitt lekket på nettet, ifølge cybersikkerhetsfirmaet UpGuard.

UpGuard avslørte funnene sine i et blogginnlegg avslører at apper opprettet på Microsofts Power Apps-plattform hadde feilaktige tillatelsesinnstillinger, noe som førte til den enorme lekkasjen.

Datatypene varierer mellom kilder, men inkluderer COVID-19-vaksinasjonsstatuser, personnummer, telefonnumre og millioner av fulle navn og e-postadresser. UpGuard har siden varslet de 47 forskjellige selskapene og statlige enhetene som ble berørt av lekkasjen.

Disse enhetene inkluderer Indiana Department of Health, New York City offentlige skolesystem, American Airlines og Microsoft.

Power Apps er en tjeneste og plattform som lar kunder lage sine egne apper og tilbyr applikasjonsprogrammeringsgrensesnitt (API) som lar disse organisasjonene bruke dataene de samler inn. Informasjonen innhentet gjennom disse API-ene er imidlertid som standard offentliggjort, og med mindre personverninnstillinger er aktivert, kan anonyme brukere fritt få tilgang til disse dataene.

Microsoft har implementert to rettelser for å løse problemet: tabelltillatelser har blitt misligholdt, og en nytt verktøy har blitt lagt til for å hjelpe brukere med å selvdiagnostisere appene sine for å finne eventuelle sikkerhetsfeil.

Firmaet anbefaler fortsatt at Microsoft implementerer "kodeendringer" på plattformen for å sikre at et datainnbrudd ikke skjer igjen.

UpGuard la ut funnene sine i håp om at ledere i teknologiindustrien lærer av denne enorme lekkasjen og hjelper til med å redusere fremtidige hendelser.