Înregistrările a 38 de milioane de persoane au fost divulgate online, potrivit firmei de securitate cibernetică UpGuard.
UpGuard și-a dezvăluit concluziile într-o postare pe blog care dezvăluie că aplicațiile create pe platforma Microsoft Power Apps aveau setări de permisiuni necorespunzătoare, ceea ce a dus la o scurgere masivă.
Tipurile de date variază între surse, dar includ stările de vaccinare împotriva COVID-19, numerele de securitate socială, numerele de telefon și milioane de nume complete și adrese de e-mail. UpGuard a notificat de atunci cele 47 de companii și entități guvernamentale diferite care au fost afectate de scurgere.
Aceste entități includ Departamentul de Sănătate din Indiana, sistemul școlar public din New York, American Airlines și Microsoft.
Power Apps este un serviciu și o platformă care le permite clienților să-și creeze propriile aplicații și oferă interfețe de programare a aplicațiilor (API) care permit acestor organizații să utilizeze datele pe care le colectează. Cu toate acestea, informațiile obținute prin aceste API-uri sunt făcute publice în mod prestabilit și, cu excepția cazului în care setările de confidențialitate sunt activate, utilizatorii anonimi pot accesa liber aceste date.
Microsoft a implementat două remedieri pentru a remedia problema: permisiunile pentru tabel au fost stabilite implicite, iar un nou instrument a fost adăugat pentru a ajuta utilizatorii să-și autodiagnostiqueze aplicațiile pentru a găsi orice defecte de securitate.
Compania recomandă în continuare ca Microsoft să implementeze „modificări de cod” pe platformă pentru a se asigura că nu se va mai repeta o încălcare a datelor.
UpGuard și-a postat concluziile în speranța că liderii din industria tehnologiei învață din această scurgere masivă și ajută la atenuarea incidentelor viitoare.