ข้อมูลรั่วไหลในแอป Microsoft Power เปิดเผยข้อมูล 38 ล้านคน

December 02, 2021
ในข่าว อินเทอร์เน็ตและความปลอดภัย

ข้อมูลของ UpGuard บริษัทรักษาความปลอดภัยทางไซเบอร์ระบุว่ามีผู้คนจำนวน 38 ล้านคนรั่วไหลทางออนไลน์

อัพการ์ด เปิดเผยผลการวิจัยในบล็อกโพสต์ เผยให้เห็นว่าแอพที่สร้างบนแพลตฟอร์ม Power Apps ของ Microsoft มีการตั้งค่าการอนุญาตที่ไม่เหมาะสม ซึ่งนำไปสู่การรั่วไหลครั้งใหญ่

ผู้ชายชี้ไปที่ข้อมูลสุขภาพ — ธีระ โคนาการ / Getty Images

ประเภทข้อมูลจะแตกต่างกันไปตามแหล่งที่มา แต่รวมถึงสถานะการฉีดวัคซีนป้องกันโควิด-19 หมายเลขประกันสังคม หมายเลขโทรศัพท์ ตลอดจนชื่อนามสกุลและที่อยู่อีเมลนับล้าน UpGuard ได้แจ้งบริษัท 47 แห่งและหน่วยงานภาครัฐที่ได้รับผลกระทบจากการรั่วไหลดังกล่าว

หน่วยงานเหล่านี้รวมถึงกรมอนามัยอินเดียน่า, ระบบโรงเรียนของรัฐในนิวยอร์กซิตี้, American Airlines และ Microsoft

Power Apps เป็นบริการและแพลตฟอร์มที่ช่วยให้ลูกค้าสามารถสร้างแอปของตนเองได้ และมี Application Programming Interface (API) ที่อนุญาตให้องค์กรเหล่านี้ใช้ข้อมูลที่รวบรวมได้ อย่างไรก็ตาม ข้อมูลที่ได้รับผ่าน API เหล่านี้จะถูกเปิดเผยต่อสาธารณะโดยค่าเริ่มต้น และเว้นแต่จะเปิดใช้งานการตั้งค่าความเป็นส่วนตัว ผู้ใช้ที่ไม่ระบุตัวตนจะสามารถเข้าถึงข้อมูลนี้ได้อย่างอิสระ

Microsoft ได้ดำเนินการแก้ไขสองประการเพื่อแก้ไขปัญหา: สิทธิ์ของตาราง ถูกทำให้เป็นค่าเริ่มต้น และ a เครื่องมือใหม่ เพิ่มเข้ามาเพื่อช่วยผู้ใช้ในการวินิจฉัยแอปของตนเองเพื่อค้นหาข้อบกพร่องด้านความปลอดภัย

ผู้หญิงที่ทำงานในห้องเซิร์ฟเวอร์ — รูปภาพ Erik Isakson / Getty

บริษัทยังคงแนะนำให้ Microsoft ใช้ "การเปลี่ยนแปลงโค้ด" กับแพลตฟอร์มเพื่อให้แน่ใจว่าจะไม่มีการละเมิดข้อมูลเกิดขึ้นอีก

UpGuard โพสต์ข้อค้นพบด้วยความหวังว่าผู้นำในอุตสาหกรรมเทคโนโลยีจะเรียนรู้จากการรั่วไหลครั้งใหญ่นี้และช่วยบรรเทาเหตุการณ์ในอนาคต