Podľa spoločnosti UpGuard pre kybernetickú bezpečnosť unikli online záznamy 38 miliónov ľudí.
UpGuard zverejnil svoje zistenia v blogovom príspevku, ktorý odhaľuje, že aplikácie vytvorené na platforme Power Apps od Microsoftu mali nesprávne nastavenia povolení, čo viedlo k masívnemu úniku.
Typy údajov sa medzi zdrojmi líšia, no zahŕňajú stavy očkovania proti COVID-19, čísla sociálneho poistenia, telefónne čísla a milióny celých mien a e-mailových adries. UpGuard odvtedy informoval 47 rôznych spoločností a vládnych subjektov, ktorých sa únik týkal.
Tieto entity zahŕňajú Ministerstvo zdravotníctva štátu Indiana, systém verejných škôl v New Yorku, American Airlines a Microsoft.
Power Apps je služba a platforma, ktorá umožňuje zákazníkom vytvárať si vlastné aplikácie a ponúka aplikačné programovacie rozhrania (API), ktoré týmto organizáciám umožňujú využívať údaje, ktoré zbierajú. Informácie získané prostredníctvom týchto rozhraní API sú však predvolene zverejnené a pokiaľ nie sú povolené nastavenia ochrany osobných údajov, anonymní používatelia môžu k týmto údajom voľne pristupovať.
Microsoft implementoval dve opravy na vyriešenie problému: povolenia tabuľky boli nastavené ako predvolené a bol pridaný nový nástroj, ktorý pomáha používateľom samostatne diagnostikovať svoje aplikácie a nájsť akékoľvek bezpečnostné chyby.
Firma stále odporúča, aby spoločnosť Microsoft implementovala „zmeny kódu“na platforme, aby sa zabezpečilo, že k narušeniu údajov už nedôjde.
UpGuard zverejnil svoje zistenia v nádeji, že sa lídri v technologickom priemysle poučia z tohto masívneho úniku a pomôžu zmierniť budúce incidenty.
