Computer Security 38 milionów rekordów pacjentów przechodzi do sieci po...

38 milionów rekordów pacjentów przechodzi do sieci po poważnym naruszeniu danych

Poważna luka w zabezpieczeniach portali OpenAI Power Apps firmy Microsoft dotknęła setki aplikacji, ujawniając do tej pory około 38 milionów rekordów. Te ostatnie obejmują zarówno świadectwa szczepień przeciwko Covid-19, jak i dane osobowe, w tym status zatrudnienia, numery telefonów i adresów, numery ubezpieczenia społecznego itp. Ofiary pracują w małych i dużych firmach w wielu branżach i instytucjach publicznych, takich jak szkoły i szpitale.

Problem leżący uśpiony od miesięcy?

Wydaje się, że problemy z zabezpieczeniami związane z platformą Power Apps pojawiły się od maja 2021 r. Zamiast zachowywać prywatność danych użytkowników, duża część aplikacji dostępnych w portalu Power Apps firmy Microsoft udostępnia je wszystkim zainteresowanym stronom trzecim. Powodem, dla którego pojawiła się taka luka, są interfejsy programowania aplikacji (API) oferowane przez platformę Power Apps, które pomagają programistom samodzielnie tworzyć aplikacje mobilne i internetowe. Teoretycznie interfejsy API powinny umożliwiać programistom gromadzenie potrzebnych danych bez udostępniania ich w innym miejscu. Chociaż zbierali rekordy, te interfejsy API nie zapewniały im prywatności. Co więcej, domyślnie upublicznili je, ponieważ wydaje się, że tak właśnie zostały skonfigurowane. Dlatego programiści musieli ręcznie wprowadzać poprawki, aby uniemożliwić interfejsom API Power Apps firmy Microsoft ujawnianie danych, które w innym przypadku powinni zachować w tajemnicy.

A co z łatką?

Początkowo niechętni do rozwiązania tego problemu, specjaliści ds. bezpieczeństwa firmy Microsoft zachęcali swoich klientów do „korzystania z najlepszych praktyk podczas konfigurowania produktów w sposób, który najlepiej spełnia ich potrzeby w zakresie prywatności". Ponadto wszystkie dostępne interfejsy API na platformie Power Apps powinny domyślnie zapewniać prywatność danych bez wymagało wszelkich dodatkowych działań w imieniu klienta.Microsoft posunął się jeszcze bardziej do przodu, uruchamiając unikalne narzędzie diagnostyczne Portal Checker, aby pomóc klientom zidentyfikować ich niestandardowe ustawienia interfejsu API.

Ujawniony podział danych

Ujawnione zapisy różnią się tematycznie. Część z nich dotyczyła pracowników American Airlines, część wskazywała na nowojorskie szkoły. Około 0,3 miliona adresów e-mail i 40 tysięcy dokumentacji rzeczywistości mieszanej również mogło potencjalnie wpaść w niepowołane ręce.

Ładowanie...