Личните данни на 38 милиона души са изтекли в интернет поради пропуск в повече от хиляда уеб приложения на Microsoft. American Airlines, Ford, J.B. Hunt, Министерството на здравеопазването на Мериленд, Общинският транспортен орган на Ню Йорк и държавните училища в Ню Йорк са сред компаниите и организациите, засегнати от сериозната софтуерна грешка.
Данните, погрешно споделени онлайн, включват информация от редица платформи за проследяване на контакти от Covid-19, регистрации за ваксинации, портали за кандидатстване за работа и бази данни на служители, твърди сайтът Wired. Разкритата чувствителна информация включва още телефонни номера на хора, домашни адреси, номера на социални осигуровки и статус на ваксинация срещу Covid-19.
Цялата информация е съхранена в порталната услуга на Microsoft Power Apps. Всъщност тя представлява платформа за разработка, в която могат да се създават уеб или мобилни приложения за външна употреба. Може да се използва за създаване на публичен сайт за услуги като регистрация на ваксини, както и за създаване на база данни с информация за вътрешна употреба. Изследователи от фирмата за киберсигурност Upguard обаче установиха, че в някои случаи базата данни е публична и достъпна за преглед на всеки, който може да я намери или знае за съществуването ѝ.
През май компанията започна разследване на хиляди портали, базирани на Power App, които разкриват публично това, което трябваше да бъде скрити лични данни. Фирмата установи, че грешката е допусната, когато са използвани готови интерфейси за програмиране на Power Apps за взаимодействие с данни. В доклад, публикуван в понеделник, тя разкрива още, че когато този API има позволение да взаимодейства с данните, той автоматично се оповестява публично. Настройките за поверителност могат да се променят ръчно, но много клиенти не знаят за това и оставят приложенията си по подразбиране, което означава, че събраните от тях данни са автоматично публично достъпни.
„Открихме един програмен интерфейс, който е бил неправилно конфигуриран за излагане на данни, и се усетихме, че никога не сме чували за подобно нещо. Това еднократно ли е, или става въпрос за системен проблем?“, възкликва Грег Полок, вицепрезидент на UpGuard по кибер изследвания пред Wired.
Снимка: Google
Виж още: Гробище на Луната ще приема тленни останки на богати покойници