Витік даних у Microsoft Power Apps відкриває записи 38 мільйонів людей

За даними компанії з кібербезпеки UpGuard, дані про 38 мільйонів людей злили в Інтернет.

UpGuard оприлюднила свої висновки в дописі в блозі показуючи, що програми, створені на платформі Microsoft Power Apps, мали неправильні налаштування дозволів, що призвело до масового витоку.

Типи даних відрізняються в різних джерелах, але включають статуси вакцинації проти COVID-19, номери соціального страхування, номери телефонів і мільйони повних імен та електронних адрес. З тих пір UpGuard повідомила 47 різних компаній і державних установ, які постраждали від витоку.

До таких організацій належать Департамент охорони здоров’я Індіани, система державних шкіл Нью-Йорка, American Airlines та Microsoft.

Power Apps — це сервіс і платформа, які дозволяють клієнтам створювати власні програми та пропонують інтерфейси програмного забезпечення (API), які дозволяють цим організаціям використовувати дані, які вони збирають. Однак інформація, отримана через ці API, за замовчуванням стає загальнодоступною, і, якщо налаштування конфіденційності не ввімкнено, анонімні користувачі можуть вільно отримати доступ до цих даних.

Корпорація Майкрософт реалізувала два виправлення, щоб усунути проблему: дозволи таблиці були зроблені за замовчуванням, і a новий інструмент було додано, щоб допомогти користувачам самостійно діагностувати свої програми, щоб виявити будь-які недоліки безпеки.

Фірма все ще рекомендує Microsoft внести «зміни коду» до платформи, щоб убезпечити від злому даних більше.

UpGuard опублікував свої висновки в надії, що лідери технологічної галузі винесуть уроки з цього масового витоку та допоможуть пом’якшити майбутні інциденти.