Po podatkih podjetja za kibernetsko varnost UpGuard so na spletu pricurljali podatki o 38 milijonih ljudi.
UpGuard je razkril svoje ugotovitve v objavi v spletnem dnevniku, v kateri je razkril, da so imele aplikacije, ustvarjene na Microsoftovi platformi Power Apps, neustrezne nastavitve dovoljenj, kar je povzročilo množično uhajanje podatkov.
Vrste podatkov se med viri razlikujejo, vendar vključujejo statuse cepljenja proti COVID-19, številke socialnega zavarovanja, telefonske številke ter milijone polnih imen in e-poštnih naslovov. UpGuard je od takrat obvestil 47 različnih podjetij in vladnih subjektov, ki jih je uhajanje prizadelo.
Ti subjekti vključujejo Ministrstvo za zdravje Indiane, sistem javnih šol New Yorka, American Airlines in Microsoft.
Power Apps je storitev in platforma, ki strankam omogoča izdelavo lastnih aplikacij in ponuja vmesnike za programiranje aplikacij (API), ki tem organizacijam omogočajo uporabo podatkov, ki jih zbirajo. Vendar pa so informacije, pridobljene prek teh API-jev, privzeto javne in anonimni uporabniki lahko prosto dostopajo do teh podatkov, razen če so omogočene nastavitve zasebnosti.
Microsoft je implementiral dva popravka za odpravo težave: dovoljenja tabele so bila privzeta in dodano je bilo novo orodje, ki uporabnikom pomaga pri samodiagnosticiranju njihovih aplikacij, da bi našli morebitne varnostne napake.
Podjetje še vedno priporoča, da Microsoft izvede "spremembe kode" na platformi, da zagotovi, da se kršitev podatkov ne bo ponovila.
UpGuard je objavil svoje ugotovitve v upanju, da se bodo vodilni v tehnološki industriji naučili iz tega velikega uhajanja informacij in pomagali ublažiti prihodnje incidente.
