Les dossiers de 38 millions de personnes ont été divulgués en ligne, selon la société de cybersécurité UpGuard.
UpGuard a divulgué ses conclusions sur un article de blog révélant que les applications créées sur la plate-forme Power Apps de Microsoft avaient des paramètres d'autorisation incorrects, ce qui a conduit à la fuite massive.
Les types de données varient selon les sources, mais incluent les statuts de vaccination contre la COVID-19, les numéros de sécurité sociale, les numéros de téléphone et des millions de noms complets et d'adresses e-mail. UpGuard a depuis informé les 47 entreprises et entités gouvernementales différentes qui ont été touchées par la fuite.
Ces entités comprennent le ministère de la Santé de l'Indiana, le système scolaire public de la ville de New York, American Airlines et Microsoft.
Power Apps est un service et une plate-forme qui permettent aux clients de créer leurs propres applications et propose des interfaces de programmation d'applications (API) qui permettent à ces organisations d'utiliser les données qu'elles collectent. Cependant, les informations obtenues via ces API sont rendues publiques par défaut, et à moins que les paramètres de confidentialité ne soient activés, les utilisateurs anonymes peuvent accéder librement à ces données.
Microsoft a implémenté deux correctifs pour résoudre le problème: les autorisations de table ont été définies par défaut et un nouvel outil a été ajouté pour aider les utilisateurs à auto-diagnostiquer leurs applications afin de détecter d'éventuelles failles de sécurité.
L'entreprise recommande toujours que Microsoft implémente des "modifications de code" sur la plate-forme pour s'assurer qu'une violation de données ne se reproduise plus.
UpGuard a publié ses conclusions dans l'espoir que les dirigeants de l'industrie technologique tirent des leçons de cette fuite massive et aident à atténuer les incidents futurs.