De gegevens van 38 miljoen mensen zijn online gelekt, volgens cyberbeveiligingsbedrijf UpGuard.
UpGuard maakte zijn bevindingen bekend in een blogpost waarin werd onthuld dat apps die zijn gemaakt op het Power Apps-platform van Microsoft onjuiste toestemmingsinstellingen hadden, wat leidde tot het enorme lek.
De gegevenstypen variëren tussen bronnen, maar omvatten COVID-19-vaccinatiestatussen, burgerservicenummers, telefoonnummers en miljoenen volledige namen en e-mailadressen. UpGuard heeft sindsdien de 47 verschillende bedrijven en overheidsinstanties op de hoogte gebracht die door het lek werden getroffen.
Deze entiteiten omvatten het Indiana Department of He alth, het openbare schoolsysteem van New York City, American Airlines en Microsoft.
Power Apps is een service en platform waarmee klanten hun eigen apps kunnen maken en biedt Application Programming Interfaces (API's) waarmee deze organisaties de gegevens die ze verzamelen kunnen gebruiken. De informatie die via deze API's wordt verkregen, wordt echter standaard openbaar gemaakt, en tenzij privacy-instellingen zijn ingeschakeld, hebben anonieme gebruikers vrij toegang tot deze gegevens.
Microsoft heeft twee oplossingen geïmplementeerd om het probleem te verhelpen: tafelrechten zijn standaard gemaakt en er is een nieuwe tool toegevoegd om gebruikers te helpen hun apps zelf te diagnosticeren om eventuele beveiligingsfouten te vinden.
Het bedrijf beveelt Microsoft nog steeds aan om "codewijzigingen" in het platform door te voeren om ervoor te zorgen dat een datalek niet opnieuw plaatsvindt.
UpGuard plaatste zijn bevindingen in de hoop dat leiders in de tech-industrie leren van dit enorme lek en toekomstige incidenten helpen verminderen.