Nach Angaben der Cybersicherheitsfirma UpGuard sind die Aufzeichnungen von 38 Millionen Menschen online durchgesickert.
UpGuard veröffentlichte seine Ergebnisse in einem Blogbeitrag, der enthüllte, dass Apps, die auf der Power Apps-Plattform von Microsoft erstellt wurden, falsche Berechtigungseinstellungen hatten, was zu dem massiven Leak führte.
Die Datentypen variieren je nach Quelle, umfassen jedoch COVID-19-Impfstatus, Sozialversicherungsnummern, Telefonnummern und Millionen vollständiger Namen und E-Mail-Adressen. UpGuard hat seitdem die 47 verschiedenen Unternehmen und Regierungsstellen benachrichtigt, die von dem Leak betroffen waren.
Zu diesen Einrichtungen gehören das Gesundheitsministerium von Indiana, das öffentliche Schulsystem von New York City, American Airlines und Microsoft.
Power Apps ist ein Dienst und eine Plattform, die es Kunden ermöglicht, ihre eigenen Apps zu erstellen, und bietet Anwendungsprogrammierschnittstellen (APIs), die es diesen Organisationen ermöglichen, die von ihnen gesammelten Daten zu verwenden. Die über diese APIs erh altenen Informationen werden jedoch standardmäßig veröffentlicht, und wenn die Datenschutzeinstellungen nicht aktiviert sind, können anonyme Benutzer frei auf diese Daten zugreifen.
Microsoft hat zwei Korrekturen implementiert, um das Problem zu beheben: Tabellenberechtigungen wurden zum Standard gemacht, und ein neues Tool wurde hinzugefügt, um Benutzern zu helfen, ihre Apps selbst zu diagnostizieren, um Sicherheitslücken zu finden.
Das Unternehmen empfiehlt weiterhin, dass Microsoft „Code-Änderungen“an der Plattform implementiert, um sicherzustellen, dass eine Datenschutzverletzung nicht erneut vorkommt.
UpGuard veröffentlichte seine Ergebnisse in der Hoffnung, dass führende Unternehmen der Technologiebranche aus diesem massiven Leck lernen und dazu beitragen, zukünftige Vorfälle zu mindern.
