Siber güvenlik firması UpGuard'a göre 38 milyon kişinin kayıtları çevrimiçi olarak sızdırıldı.
UpGuard, Microsoft'un Power Apps platformunda oluşturulan uygulamaların uygunsuz izin ayarlarına sahip olduğunu ve bunun da büyük sızıntıya neden olduğunu ortaya koyan bir blog gönderisinde bulgularını açıkladı.
Veri türleri kaynaklara göre değişir, ancak COVID-19 aşı durumlarını, Sosyal Güvenlik numaralarını, telefon numaralarını ve milyonlarca tam adı ve e-posta adresini içerir. UpGuard o zamandan beri sızıntıdan etkilenen 47 farklı şirket ve devlet kurumunu bilgilendirdi.
Bu kuruluşlar arasında Indiana Sağlık Bakanlığı, New York City devlet okulu sistemi, American Airlines ve Microsoft bulunmaktadır.
Power Apps, müşterilerin kendi uygulamalarını yapmalarına olanak tanıyan ve bu kuruluşların topladıkları verileri kullanmalarına olanak tanıyan uygulama programlama arabirimleri (API'ler) sunan bir hizmet ve platformdur. Ancak bu API'ler aracılığıyla elde edilen bilgiler varsayılan olarak herkese açıktır ve gizlilik ayarları etkinleştirilmedikçe anonim kullanıcılar bu verilere serbestçe erişebilir.
Microsoft, sorunu çözmek için iki düzeltme uyguladı: tablo izinleri varsayılan hale getirildi ve kullanıcıların güvenlik kusurlarını bulmak için uygulamalarını kendi kendilerine teşhis etmelerine yardımcı olmak için yeni bir araç eklendi.
Firma yine de bir veri ihlalinin tekrarlanmamasını sağlamak için Microsoft'un platformda "kod değişiklikleri" uygulamasını tavsiye ediyor.
UpGuard, teknoloji endüstrisindeki liderlerin bu büyük sızıntıdan ders alması ve gelecekteki olayların az altılmasına yardımcı olması umuduyla bulgularını yayınladı.
