Kyberturvallisuusyhtiö UpGuardin mukaan 38 miljoonan ihmisen tiedot on vuotanut verkkoon.
UpGuard paljasti havaintonsa blogikirjoituksessa, joka paljasti, että Microsoftin Power Apps -alustalle luoduissa sovelluksissa oli väärät käyttöoikeusasetukset, mikä johti massiiviseen vuotoon.
Tietotyypit vaihtelevat eri lähteistä, mutta sisältävät COVID-19-rokotusten tilat, sosiaaliturvatunnukset, puhelinnumerot ja miljoonia täydellisiä nimiä ja sähköpostiosoitteita. UpGuard on sittemmin ilmoittanut 47 eri yritykselle ja v altion taholle, joihin vuoto vaikutti.
Näihin yksiköihin kuuluvat Indianan terveysministeriö, New Yorkin julkinen koulujärjestelmä, American Airlines ja Microsoft.
Power Apps on palvelu ja alusta, jonka avulla asiakkaat voivat tehdä omia sovelluksiaan ja tarjoaa sovellusrajapintoja (API), joiden avulla nämä organisaatiot voivat käyttää keräämiään tietoja. Näiden sovellusliittymien kautta saadut tiedot ovat kuitenkin oletuksena julkisia, ja ellei tietosuoja-asetuksia ole otettu käyttöön, nimettömät käyttäjät voivat käyttää näitä tietoja vapaasti.
Microsoft on ottanut käyttöön kaksi korjausta ongelman korjaamiseksi: taulukon käyttöoikeudet on tehty oletusarvoisiksi, ja uusi työkalu on lisätty, jotta käyttäjät voivat itse diagnosoida sovelluksensa ja löytää tietoturvapuutteita.
Yritys suosittelee edelleen, että Microsoft toteuttaa "koodimuutokset" alustaan varmistaakseen, että tietomurrot eivät toistu.
UpGuard julkaisi havaintonsa toivoen, että teknologia-alan johtajat oppisivat tästä massiivisesta vuodosta ja auttavat lieventämään tulevia tapauksia.