Τα αρχεία 38 εκατομμυρίων ανθρώπων έχουν διαρρεύσει στο διαδίκτυο, σύμφωνα με την εταιρεία κυβερνοασφάλειας UpGuard.
Η UpGuard αποκάλυψε τα ευρήματά της σε μια ανάρτηση ιστολογίου αποκαλύπτοντας ότι οι εφαρμογές που δημιουργήθηκαν στην πλατφόρμα Power Apps της Microsoft είχαν ακατάλληλες ρυθμίσεις αδειών, οι οποίες οδήγησαν στη μαζική διαρροή.
Οι τύποι δεδομένων διαφέρουν μεταξύ των πηγών, αλλά περιλαμβάνουν καταστάσεις εμβολιασμού κατά του COVID-19, αριθμούς κοινωνικής ασφάλισης, αριθμούς τηλεφώνου και εκατομμύρια πλήρη ονόματα και διευθύνσεις ηλεκτρονικού ταχυδρομείου. Η UpGuard έχει ειδοποιήσει έκτοτε τις 47 διαφορετικές εταιρείες και κυβερνητικές οντότητες που επηρεάστηκαν από τη διαρροή.
Αυτές οι οντότητες περιλαμβάνουν το Υπουργείο Υγείας της Ιντιάνα, το δημόσιο σχολικό σύστημα της Νέας Υόρκης, την American Airlines και τη Microsoft.
Το Power Apps είναι μια υπηρεσία και μια πλατφόρμα που επιτρέπει στους πελάτες να δημιουργούν τις δικές τους εφαρμογές και προσφέρει διεπαφές προγραμματισμού εφαρμογών (API) που επιτρέπουν σε αυτούς τους οργανισμούς να χρησιμοποιούν τα δεδομένα που συλλέγουν. Ωστόσο, οι πληροφορίες που λαμβάνονται μέσω αυτών των API δημοσιοποιούνται από προεπιλογή και, εκτός εάν είναι ενεργοποιημένες οι ρυθμίσεις απορρήτου, οι ανώνυμοι χρήστες μπορούν ελεύθερα να έχουν πρόσβαση σε αυτά τα δεδομένα.
Η Microsoft έχει εφαρμόσει δύο επιδιορθώσεις για να διορθώσει το πρόβλημα: τα δικαιώματα πίνακα έχουν οριστεί ως προεπιλογή και ένα νέο εργαλείο έχει προστεθεί για να βοηθά τους χρήστες να κάνουν αυτοδιάγνωση των εφαρμογών τους για να βρουν τυχόν ελαττώματα ασφαλείας.
Η εταιρεία εξακολουθεί να συνιστά στη Microsoft να εφαρμόσει "αλλαγές κώδικα" στην πλατφόρμα για να διασφαλίσει ότι δεν θα συμβεί ξανά παραβίαση δεδομένων.
Το UpGuard δημοσίευσε τα ευρήματά του με την ελπίδα ότι οι ηγέτες στον κλάδο της τεχνολογίας θα μάθουν από αυτή τη μαζική διαρροή και θα βοηθήσουν στον μετριασμό μελλοντικών περιστατικών.
