Podle kybernetické bezpečnostní firmy UpGuard unikly online záznamy 38 milionů lidí.
UpGuard zveřejnila svá zjištění v příspěvku na blogu, který odhaluje, že aplikace vytvořené na platformě Power Apps společnosti Microsoft měly nesprávná nastavení oprávnění, což vedlo k masivnímu úniku.
Typy dat se mezi zdroji liší, ale zahrnují stavy očkování proti COVID-19, čísla sociálního pojištění, telefonní čísla a miliony celých jmen a e-mailových adres. UpGuard od té doby informoval 47 různých společností a vládních subjektů, které byly zasaženy únikem.
Tyto entity zahrnují Indiana Department of He alth, systém veřejných škol v New Yorku, American Airlines a Microsoft.
Power Apps je služba a platforma, která zákazníkům umožňuje vytvářet vlastní aplikace a nabízí rozhraní pro programování aplikací (API), která těmto organizacím umožňují využívat data, která shromažďují. Informace získané prostřednictvím těchto rozhraní API jsou však ve výchozím nastavení zveřejňovány, a pokud není povoleno nastavení ochrany osobních údajů, mohou anonymní uživatelé k těmto údajům volně přistupovat.
Microsoft implementoval dvě opravy k nápravě problému: oprávnění k tabulce byla nastavena jako výchozí a byl přidán nový nástroj, který uživatelům pomáhá samostatně diagnostikovat své aplikace a najít případné bezpečnostní chyby.
Firma stále doporučuje, aby společnost Microsoft implementovala „změny kódu“na platformě, aby se zajistilo, že k narušení dat již nedojde.
UpGuard zveřejnil svá zjištění v naději, že se lídři v technologickém průmyslu poučí z tohoto masivního úniku a pomohou zmírnit budoucí incidenty.
