По данным компании UpGuard, занимающейся кибербезопасностью, в сеть просочилась информация о 38 миллионах человек.
UpGuard раскрыл свои выводы в сообщении в блоге, в котором говорится, что приложения, созданные на платформе Microsoft Power Apps, имеют неправильные настройки разрешений, что привело к массовой утечке.
Типы данных различаются в зависимости от источника, но включают статусы вакцинации от COVID-19, номера социального страхования, номера телефонов и миллионы полных имен и адресов электронной почты. С тех пор UpGuard уведомил 47 различных компаний и государственных учреждений, пострадавших от утечки.
Эти организации включают Министерство здравоохранения Индианы, систему государственных школ Нью-Йорка, American Airlines и Microsoft.
Power Apps - это служба и платформа, которые позволяют клиентам создавать свои собственные приложения и предлагают интерфейсы прикладного программирования (API), которые позволяют этим организациям использовать собираемые ими данные. Однако информация, полученная с помощью этих API, по умолчанию становится общедоступной, и, если не включены настройки конфиденциальности, анонимные пользователи могут свободно получать доступ к этим данным.
Microsoft внедрила два исправления для решения этой проблемы: разрешения для таблиц были установлены по умолчанию, и был добавлен новый инструмент, помогающий пользователям самостоятельно диагностировать свои приложения, чтобы найти любые недостатки безопасности.
Фирма по-прежнему рекомендует Microsoft внедрить «изменения кода» в платформу, чтобы гарантировать, что утечка данных больше не повторится.
UpGuard опубликовал свои выводы в надежде, что лидеры технологической отрасли извлекут уроки из этой масштабной утечки и помогут смягчить последствия будущих инцидентов.
