Записите на 38 милиона души са изтекли онлайн, според фирмата за киберсигурност UpGuard.
UpGuard разкри констатациите си в публикация в блог, разкриваща, че приложенията, създадени на платформата Power Apps на Microsoft, са имали неправилни настройки за разрешения, което е довело до масивното изтичане на информация.
Типовете данни варират в различните източници, но включват статуси на ваксинация срещу COVID-19, номера на социално осигуряване, телефонни номера и милиони пълни имена и имейл адреси. Оттогава UpGuard е уведомил 47 различни компании и правителствени организации, които са били засегнати от изтичането на информация.
Тези субекти включват Министерството на здравеопазването на Индиана, системата на държавните училища в Ню Йорк, American Airlines и Microsoft.
Power Apps е услуга и платформа, която позволява на клиентите да създават свои собствени приложения и предлага интерфейси за програмиране на приложения (API), които позволяват на тези организации да използват данните, които събират. Въпреки това, информацията, получена чрез тези API, е публична по подразбиране и освен ако настройките за поверителност не са активирани, анонимните потребители имат свободен достъп до тези данни.
Microsoft внедри две корекции, за да отстрани проблема: разрешенията за таблицата са зададени по подразбиране и е добавен нов инструмент, който помага на потребителите да диагностицират сами своите приложения, за да намерят пропуски в сигурността.
Фирмата все още препоръчва Microsoft да внедри „промени в кода“в платформата, за да гарантира, че нарушаването на данните няма да се повтори.
UpGuard публикува своите открития с надеждата, че лидерите в технологичната индустрия ще се поучат от това масивно изтичане на информация и ще помогнат за смекчаване на бъдещи инциденти.
