Optegnelserne for 38 millioner mennesker er blevet lækket online ifølge cybersikkerhedsfirmaet UpGuard.
UpGuard afslørede sine resultater i et blogindlæg, der afslørede, at apps oprettet på Microsofts Power Apps-platform havde forkerte tilladelsesindstillinger, hvilket førte til det massive læk.
Datatyperne varierer mellem kilder, men inkluderer COVID-19-vaccinationsstatusser, CPR-numre, telefonnumre og millioner af fulde navne og e-mailadresser. UpGuard har siden underrettet de 47 forskellige virksomheder og offentlige enheder, der var berørt af lækagen.
Disse enheder omfatter Indiana Department of He alth, New York Citys offentlige skolesystem, American Airlines og Microsoft.
Power Apps er en tjeneste og platform, der giver kunderne mulighed for at lave deres egne apps og tilbyder applikationsprogrammeringsgrænseflader (API'er), der giver disse organisationer mulighed for at bruge de data, de indsamler. Oplysningerne opnået gennem disse API'er er dog som standard offentliggjort, og medmindre privatlivsindstillinger er aktiveret, kan anonyme brugere frit få adgang til disse data.
Microsoft har implementeret to rettelser for at afhjælpe problemet: tabeltilladelser er blevet standard, og et nyt værktøj er blevet tilføjet til at hjælpe brugere med at selvdiagnosticere deres apps for at finde eventuelle sikkerhedsfejl.
Firmaet anbefaler stadig, at Microsoft implementerer "kodeændringer" til platformen for at sikre, at et databrud ikke sker igen.
UpGuard offentliggjorde sine resultater i håb om, at ledere i teknologiindustrien lærer af denne massive læk og hjælper med at afbøde fremtidige hændelser.