Ang mga rekord ng 38 milyong tao ay na-leak online, ayon sa cybersecurity firm na UpGuard.
Inihayag ng UpGuard ang mga natuklasan nito sa isang blog post na nagpapakitang ang mga app na ginawa sa Power Apps platform ng Microsoft ay may hindi wastong mga setting ng pahintulot, na humantong sa napakalaking pagtagas.
Nag-iiba-iba ang mga uri ng data sa pagitan ng mga pinagmulan, ngunit kasama ang mga status ng pagbabakuna sa COVID-19, mga numero ng Social Security, numero ng telepono, at milyun-milyong buong pangalan at email address. Inabisuhan na ng UpGuard ang 47 iba't ibang kumpanya at entity ng gobyerno na naapektuhan ng pagtagas.
Kabilang sa mga entity na ito ang Indiana Department of He alth, ang sistema ng pampublikong paaralan ng New York City, American Airlines, at Microsoft.
Ang Power Apps ay isang serbisyo at platform na nagbibigay-daan sa mga customer na gumawa ng sarili nilang mga app at nag-aalok ng mga application programming interface (API) na nagpapahintulot sa mga organisasyong ito na gamitin ang data na kinokolekta nila. Gayunpaman, ang impormasyong nakuha sa pamamagitan ng mga API na ito ay ginawang pampubliko bilang default, at maliban kung pinagana ang mga setting ng privacy, malayang maa-access ng mga hindi kilalang user ang data na ito.
Nagpatupad ang Microsoft ng dalawang pag-aayos upang malutas ang problema: ginawang default ang mga pahintulot sa talahanayan, at naidagdag ang isang bagong tool upang matulungan ang mga user na i-diagnose ang kanilang mga app upang mahanap ang anumang mga bahid sa seguridad.
Inirerekomenda pa rin ng firm na ipatupad ng Microsoft ang “mga pagbabago sa code” sa platform para matiyak na hindi na mauulit ang data breach.
UpGuard ay nag-post ng mga natuklasan nito sa pag-asang matututo ang mga lider sa industriya ng teknolohiya mula sa napakalaking pagtagas na ito at makatulong na mabawasan ang mga insidente sa hinaharap.
