Hồ sơ của 38 triệu người đã bị rò rỉ trực tuyến, theo công ty an ninh mạng UpGuard.
UpGuard đã tiết lộ những phát hiện của mình trên một bài đăng trên blog tiết lộ rằng các ứng dụng được tạo trên nền tảng Power Apps của Microsoft có cài đặt quyền không phù hợp, dẫn đến sự cố rò rỉ lớn.
Các loại dữ liệu khác nhau giữa các nguồn, nhưng bao gồm trạng thái tiêm chủng COVID-19, số An sinh xã hội, số điện thoại và hàng triệu tên đầy đủ và địa chỉ email. UpGuard kể từ đó đã thông báo cho 47 công ty và tổ chức chính phủ khác nhau bị ảnh hưởng bởi vụ rò rỉ.
Các tổ chức này bao gồm Bộ Y tế Indiana, hệ thống trường công lập Thành phố New York, American Airlines và Microsoft.
Power Apps là một dịch vụ và nền tảng cho phép khách hàng tạo ứng dụng của riêng họ và cung cấp giao diện lập trình ứng dụng (API) cho phép các tổ chức này sử dụng dữ liệu mà họ thu thập. Tuy nhiên, thông tin thu được thông qua các API này được công khai theo mặc định và trừ khi cài đặt quyền riêng tư được bật, người dùng ẩn danh có thể tự do truy cập vào dữ liệu này.
Microsoft đã triển khai hai bản sửa lỗi để khắc phục sự cố: quyền bảng được đặt làm mặc định và một công cụ mới đã được thêm vào để giúp người dùng tự chẩn đoán ứng dụng của họ để tìm bất kỳ lỗi bảo mật nào.
Công ty vẫn khuyến nghị Microsoft thực hiện "thay đổi mã" đối với nền tảng để đảm bảo vi phạm dữ liệu không xảy ra nữa.
UpGuard đã đăng những phát hiện của mình với hy vọng rằng các nhà lãnh đạo trong ngành công nghệ sẽ học được từ vụ rò rỉ lớn này và giúp giảm thiểu các sự cố trong tương lai.
