Catatan 38 juta orang telah bocor secara online, menurut firma keamanan siber UpGuard.
UpGuard mengungkapkan temuannya di postingan blog yang mengungkapkan bahwa aplikasi yang dibuat di platform Power Apps Microsoft memiliki pengaturan izin yang tidak tepat, yang menyebabkan kebocoran besar.
Tipe data bervariasi antar sumber, tetapi mencakup status vaksinasi COVID-19, nomor Jaminan Sosial, nomor telepon, dan jutaan nama lengkap dan alamat email. UpGuard telah memberi tahu 47 perusahaan dan entitas pemerintah yang terkena dampak kebocoran tersebut.
Entitas ini termasuk Departemen Kesehatan Indiana, sistem sekolah umum Kota New York, American Airlines, dan Microsoft.
Power Apps adalah layanan dan platform yang memungkinkan pelanggan membuat aplikasi mereka sendiri dan menawarkan antarmuka pemrograman aplikasi (API) yang memungkinkan organisasi ini menggunakan data yang mereka kumpulkan. Namun, informasi yang diperoleh melalui API ini dibuat publik secara default, dan kecuali pengaturan privasi diaktifkan, pengguna anonim dapat dengan bebas mengakses data ini.
Microsoft telah menerapkan dua perbaikan untuk mengatasi masalah: izin tabel telah dijadikan default, dan alat baru telah ditambahkan untuk membantu pengguna mendiagnosis sendiri aplikasi mereka untuk menemukan kelemahan keamanan.
Perusahaan masih merekomendasikan agar Microsoft menerapkan "perubahan kode" ke platform untuk memastikan pelanggaran data tidak terjadi lagi.
UpGuard memposting temuannya dengan harapan para pemimpin di industri teknologi belajar dari kebocoran besar ini dan membantu mengurangi insiden di masa mendatang.
