Ευαίσθητα δεδομένα που συμπεριλαμβάνουν καταστάσεις εμβολιασμένων για COVID-19, αριθμούς κοινωνικής ασφάλισης και διευθύνσεις ηλεκτρονικού ταχυδρομείου εκτέθηκαν online λόγω αδύναμων προεπιλεγμένων ρυθμίσεων των Microsoft Power Apps, σύμφωνα με την Upguard.
Η Upguard Research αποκάλυψε πάρα πολλές διαρροές δεδομένων που εκθέτουν 38 εκατομμύρια αρχεία μέσω portals των Microsoft Power Apps που έχουν ρυθμιστεί για να επιτρέπουν την πρόσβαση του κοινού.
Οι διαρροές δεδομένων επηρεάζουν τις εταιρείες American Airlines, Microsoft, J.B. Hunt και τις κυβερνήσεις της Ιντιάνα, του Μέριλαντ και της Νέας Υόρκης.
Η UpGuard Research ανακάλυψε για πρώτη φορά το πρόβλημα που αφορούσε το API ODdata σε ένα portal των Power Apps στις 24 Μαΐου και υπέβαλε μια αναφορά ευπάθειας στη Microsoft στις 24 Ιουνίου.
Σύμφωνα με την Upguard, το πρωταρχικό πρόβλημα είναι ότι όλοι οι τύποι δεδομένων ήταν δημόσιοι ενώ ορισμένα δεδομένα, όπως τα προσωπικά στοιχεία ταυτοποίησης, θα έπρεπε να είναι ιδιωτικά. Η εσφαλμένη διαμόρφωση οδήγησε στην εμφάνιση ορισμένων πολύ ιδιωτικών δεδομένων.
Τα Microsoft Power Apps είναι εργαλεία για το σχεδιασμό εφαρμογών και τη δημιουργία δημόσιων και ιδιωτικών ιστότοπων.