I record di 38 milioni di persone sono trapelati online, secondo la società di sicurezza informatica UpGuard.
UpGuard ha rivelato i suoi risultati in un post sul blog che rivelava che le app create sulla piattaforma Microsoft Power Apps avevano impostazioni di autorizzazione improprie, il che ha portato alla massiccia fuga di notizie.
I tipi di dati variano a seconda delle fonti, ma includono lo stato delle vaccinazioni COVID-19, i numeri di previdenza sociale, i numeri di telefono e milioni di nomi completi e indirizzi e-mail. Da allora UpGuard ha notificato le 47 diverse società ed enti governativi interessati dalla fuga di notizie.
Queste entità includono il Dipartimento della salute dell'Indiana, il sistema scolastico pubblico di New York City, American Airlines e Microsoft.
Power Apps è un servizio e una piattaforma che consente ai clienti di creare le proprie app e offre API (Application Programming Interface) che consentono a queste organizzazioni di utilizzare i dati raccolti. Tuttavia, le informazioni ottenute tramite queste API sono rese pubbliche per impostazione predefinita e, a meno che le impostazioni sulla privacy non siano abilitate, gli utenti anonimi possono accedere liberamente a questi dati.
Microsoft ha implementato due correzioni per porre rimedio al problema: i permessi delle tabelle sono stati resi predefiniti ed è stato aggiunto un nuovo strumento per aiutare gli utenti ad autodiagnosticare le proprie app per trovare eventuali falle di sicurezza.
L'azienda raccomanda comunque a Microsoft di implementare "modifiche al codice" sulla piattaforma per garantire che una violazione dei dati non si ripeta.
UpGuard ha pubblicato i suoi risultati nella speranza che i leader del settore tecnologico imparino da questa massiccia fuga di notizie e aiutino a mitigare incidenti futuri.
