Küberjulgeolekufirma UpGuard andmetel on võrku lekkinud 38 miljoni inimese andmed.
UpGuard avalikustas oma järeldused ajaveebipostituses, mis paljastas, et Microsofti Power Appsi platvormil loodud rakendustel olid valed loaseaded, mis viis massilise lekkeni.
Andmetüübid on allikati erinevad, kuid hõlmavad COVID-19 vaktsineerimise staatusi, sotsiaalkindlustuse numbreid, telefoninumbreid ning miljoneid täisnimesid ja e-posti aadresse. UpGuard on sellest ajast teavitanud 47 erinevat ettevõtet ja valitsusüksust, keda leke mõjutas.
Nende üksuste hulka kuuluvad Indiana tervishoiuministeerium, New Yorgi avalik koolisüsteem, American Airlines ja Microsoft.
Power Apps on teenus ja platvorm, mis võimaldab klientidel ise rakendusi luua ja pakub rakenduste programmeerimisliideseid (API-sid), mis võimaldavad neil organisatsioonidel kogutud andmeid kasutada. Nende API-de kaudu saadud teave tehakse aga vaikimisi avalikuks ja kui privaatsusseaded pole lubatud, pääsevad anonüümsed kasutajad neile andmetele vab alt juurde.
Microsoft on probleemi lahendamiseks rakendanud kaks parandust: tabeliload on muudetud vaikimisi ja lisatud on uus tööriist, mis aitab kasutajatel oma rakendusi turvavigade leidmiseks ise diagnoosida.
Ettevõte soovitab Microsoftil siiski platvormi koodimuudatusi rakendada, et andmerikkumine ei korduks.
UpGuard avaldas oma leiud lootuses, et tehnoloogiatööstuse juhid õpivad sellest tohutust lekkest ja aitavad tulevasi intsidente leevendada.
