38 millioner patientjournaler går online efter et større databrud
En stor sikkerhedsfejl i Microsofts OpenAI Power Apps -portaler har påvirket hundredvis af apps og har indtil nu udsat cirka 38 millioner poster. Sidstnævnte spænder fra Covid-19-vaccinationscertifikater til personoplysninger, herunder beskæftigelsesstatus, telefon- og adressetal, personnummer osv. Ofrene arbejder i små og store virksomheder i flere brancher og offentlige institutioner som skoler og hospitaler.
Indholdsfortegnelse
Et problem, der ligger i dvale i flere måneder?
Sikkerhedsproblemer relateret til Power Apps -platformen ser ud til at have været i gang siden maj 2021. I stedet for at holde brugerdata private, har en stor del af apps, der er tilgængelige på Microsofts Power Apps -portal, holdt dem bredt tilgængelige for alle interesserede tredjeparter. Grunden til, at en sådan sårbarhed opstod, vedrører Application Programming Interfaces (API'er), der tilbydes af Power Apps -platformen for at hjælpe softwareudviklere med at bygge mobil- og webapplikationer på egen hånd. I teorien bør API'erne give udviklere mulighed for at indsamle de data, de har brug for, uden at dele dem andre steder. Selvom de indsamlede poster, holdt disse API'er dem ikke private. Desuden offentliggjorde de dem som standard, fordi det ser ud til, at det var sådan, de blev konfigureret i første omgang. Derfor var udviklerne nødt til at foretage manuel tilpasning for at forhindre Microsofts Power Apps API'er i at afsløre data, de ellers skulle holde under wraps.
Hvad med patchen?
Oprindeligt tilbageholdende med at løse problemet har Microsofts sikkerhedsspecialister siden opfordret deres kunder til "at bruge bedste praksis, når de konfigurerer produkter på en måde, der bedst opfylder deres privatlivsbehov." Desuden bør alle tilgængelige API'er på Power Apps -platformen holde data private som standard uden kræver yderligere træk på kundens vegne. Microsoft gik endnu mere ekstraordinært langt ved at lancere et unikt Portal Checker -diagnostikværktøj for at hjælpe kunderne med at identificere deres brugerdefinerede API -indstillinger.
Eksponeret dataopdeling
De afslørede optegnelser varierer med hensyn til emne. Nogle af dem relaterede til medarbejdere i American Airlines, mens andre pegede på skoler i New York. Cirka 0,3 millioner e -mail -adresser og 40 tusind Mixed Reality -dossierer kunne muligvis også være faldet i de forkerte hænder.