Computer Security 38 milioni di cartelle cliniche vanno online a seguito di...

38 milioni di cartelle cliniche vanno online a seguito di una grave violazione dei dati

Un grave difetto di sicurezza nei portali OpenAI Power Apps di Microsoft ha colpito centinaia di app, esponendo finora circa 38 milioni di record. Questi ultimi vanno dai certificati di vaccinazione Covid-19 ai dati personali, compreso lo stato lavorativo, i numeri di telefono e indirizzo, i numeri di previdenza sociale, ecc. Le vittime lavorano in piccole e grandi imprese in diversi settori e istituzioni pubbliche come scuole e ospedali.

Un problema rimasto inattivo per mesi?

I problemi di sicurezza relativi alla piattaforma Power Apps sembrano essere in atto da maggio 2021. Invece di mantenere privati i dati degli utenti, gran parte delle app disponibili sul portale Power Apps di Microsoft li ha tenuti ampiamente disponibili per qualsiasi terza parte interessata. Il motivo per cui è nata una tale vulnerabilità riguarda le interfacce di programmazione delle applicazioni (API) offerte dalla piattaforma Power Apps per aiutare gli sviluppatori di software a creare applicazioni mobili e web da soli. In teoria, le API dovrebbero consentire agli sviluppatori di raccogliere i dati di cui hanno bisogno senza condividerli altrove. Sebbene raccogliessero i record, quelle API non li mantenevano privati. Inoltre, li hanno resi pubblici per impostazione predefinita perché sembra che sia stato configurato in questo modo in primo luogo. Pertanto, gli sviluppatori hanno dovuto eseguire modifiche manuali per impedire alle API di Microsoft Power Apps di esporre dati che altrimenti avrebbero dovuto tenere nascosti.

E la patch?

Inizialmente riluttanti ad affrontare il problema, da allora gli specialisti della sicurezza di Microsoft hanno esortato i propri clienti a "utilizzare le migliori pratiche durante la configurazione dei prodotti in modo da soddisfare al meglio le loro esigenze di privacy". Inoltre, tutte le API disponibili sulla piattaforma Power Apps dovrebbero mantenere i dati privati per impostazione predefinita senza che richiedono ulteriori mosse per conto del cliente.Microsoft è andato a lunghezze ancora più straordinarie lanciando uno strumento diagnostico unico di Portal Checker per aiutare i clienti a identificare le loro impostazioni API personalizzate.

Ripartizione dei dati esposti

I record esposti variano in termini di materia. Alcuni di loro si riferivano a dipendenti di American Airlines, mentre altri indicavano scuole di New York City. Anche circa 0,3 milioni di indirizzi e-mail e 40mila dossier di realtà mista potrebbero essere finiti nelle mani sbagliate.

Caricamento in corso...