Între altele, scurgerea de date a afectat compania aviatică American Airlines, Departamentul de sănătate din statul Maryland și Autoritatea metropolitană de transport din New York.
În cazul companiei Ford, spre exemplu, a fost vulnerabilizată lista vehiculelor de schimb distribuite dealerilor.
În total, au fost expuse public 38 de milioane de înregistrări, care includ informații despre angajați precum și date despre vaccinarea anti-COVID, urmărirea contaților și programări pentru testare, precizează compania de securitate cibernetică UpGuard, care a dezvăluit situația.
La originea problemei stă o configurare a pachetului Microsoft Power Apps, utilizat pe scară largă de instituții publice și private pentru partajarea datelor.
Unele organizații, precum agențiile americane din domeniul sănătății publice, utilizează Power Apps pentru a permite populației să acceseze datele personale privind rezultatele testării COVID sau să consulte datele referitoare la vaccinare.
În mod implicit, o setare care ar fi putut preveni scurgerea de date și care limitează datele accesibile pentru utilizator a fost dezactivată de producător.
UpGuard a descoperit vulnerabilitatea în data de 24 mai. După ce a scanat internetul în căutare de baze de date expuse prin această breșă și a găsit numeroase alte cazuri, compania de securitate a anunțat Microsoft, o lună mai târziu. Însă, potrivit sursei citate, producătorul de software a răspuns că setările aplicației funcționează conform proiectării.
UpGuard precizează că a început să anunțe la începutul lunii trecute organizațiile afectate de vulnerabilitatea din Microsoft Power Apps. La finele lui iulie, datele unora dintre agențiile americane care utilizează Power Apps nu mai erau publice, conform UpGuard.
Microsoft a precizat pentru CNN la începutul acestei săptămâni că a modificat valorile implicite astfel încât organizațiile care utilizează Power Apps fără modificări personalizate complexe să aibă setarea de confidențialitate activată automat.
Totuși, companiile care utilizează Power Apps pentru sarcini complexe și personalizate trebuie să-și activeze singure setările de confidențialitate, a subliniat Microsoft.
În total, cel puțin 47 de companii și organizații din SUA și-au expus datele în necunoștință de cauză, ca urmare a setărilor implicite din Microsoft Power Apps.
Cât timp vulnerabilitatea a fost activă, au fost expuse nume, numere de asigurări sociale, numere de telefon, date de naștere, detalii demografice, adrese și chiar informații despre testele privind consumul de stupefiante și calitatea de membru de sindicat.