Puščanje podatkov v Microsoft Power Apps razkrije zapise 38 milijonov ljudi

Po podatkih podjetja za kibernetsko varnost UpGuard je na spletu pricurljala evidenca 38 milijonov ljudi.

UpGuard svoje ugotovitve razkrila na blogu razkriva, da so imele aplikacije, ustvarjene na Microsoftovi platformi Power Apps, nepravilne nastavitve dovoljenj, kar je privedlo do velikega puščanja.

Vrste podatkov se med viri razlikujejo, vendar vključujejo statuse cepljenja proti COVID-19, številke socialnega zavarovanja, telefonske številke in na milijone polnih imen in e-poštnih naslovov. UpGuard je od takrat obvestil 47 različnih podjetij in vladnih subjektov, ki so bili prizadeti zaradi puščanja.

Ti subjekti vključujejo Ministrstvo za zdravje Indiane, javni šolski sistem New Yorka, American Airlines in Microsoft.

Power Apps je storitev in platforma, ki strankam omogoča izdelavo lastnih aplikacij in ponuja vmesnike za programiranje aplikacij (API), ki tem organizacijam omogočajo uporabo podatkov, ki jih zbirajo. Vendar pa so informacije, pridobljene s temi API-ji, privzeto javno objavljene in če niso omogočene nastavitve zasebnosti, lahko anonimni uporabniki prosto dostopajo do teh podatkov.

Microsoft je uvedel dva popravka za odpravo težave: dovoljenja za tabelo so privzete, in a novo orodje je bil dodan za pomoč uporabnikom pri samodiagnosticiranju svojih aplikacij, da bi našli morebitne varnostne pomanjkljivosti.

Podjetje še vedno priporoča, da Microsoft izvede "spremembe kode" na platformi, da zagotovi, da se kršitev podatkov ne ponovi.

UpGuard je objavil svoje ugotovitve v upanju, da se bodo vodilni v tehnološki industriji naučili iz tega velikega uhajanja in pomagali ublažiti prihodnje incidente.