הרשומות של 38 מיליון אנשים הודלפו באינטרנט, לפי חברת אבטחת הסייבר UpGuard.
UpGuard חשפה את ממצאיה בפוסט בבלוג שחשף כי לאפליקציות שנוצרו בפלטפורמת Power Apps של מיקרוסופט יש הגדרות הרשאה לא מתאימות, מה שהוביל לדליפה האדירה.
סוגי הנתונים משתנים בין המקורות, אך כוללים סטטוסים של חיסון נגד COVID-19, מספרי תעודת זהות, מספרי טלפון ומיליוני שמות מלאים וכתובות דוא ל. UpGuard הודיעה מאז ל-47 חברות וגופים ממשלתיים שונים שהושפעו מהדליפה.
ישויות אלה כוללות את מחלקת הבריאות של אינדיאנה, מערכת בתי הספר הציבוריים בעיר ניו יורק, אמריקן איירליינס ו-Microsoft.
Power Apps הוא שירות ופלטפורמה המאפשרת ללקוחות ליצור אפליקציות משלהם ומציעה ממשקי תכנות יישומים (API) המאפשרים לארגונים אלה להשתמש בנתונים שהם אוספים. עם זאת, המידע המתקבל באמצעות ממשקי API אלה מפורסם לציבור כברירת מחדל, אלא אם מופעלות הגדרות פרטיות, משתמשים אנונימיים יכולים לגשת לנתונים אלה באופן חופשי.
Microsoft הטמיעה שני תיקונים כדי לתקן את הבעיה: הרשאות הטבלה הוגדרו כברירת מחדל, וכלי חדש נוסף כדי לעזור למשתמשים לאבחן בעצמם את האפליקציות שלהם כדי למצוא פגמי אבטחה.
החברה עדיין ממליצה למיקרוסופט ליישם "שינויי קוד" בפלטפורמה כדי להבטיח שהפרת נתונים לא תתרחש שוב.
UpGuard פרסמה את ממצאיה בתקווה שמנהיגים בתעשיית הטכנולוגיה ילמדו מהדליפה האדירה הזו ויסייעו לצמצם תקריות עתידיות.
