重大なデータ漏えいの後、3800万人の患者記録がオンラインになります

MicrosoftのOpenAIPower Appsポータルの主要なセキュリティ上の欠陥が数百のアプリに影響を及ぼし、これまでに約3,800万件のレコードが公開されています。後者は、 Covid-19ワクチン接種証明書から、雇用状況、電話番号と住所番号、社会保障番号などの個人データにまで及びます。被害者は、複数の業界や学校や病院などの公的機関の小規模および大規模企業で働いています。

何ヶ月も休眠している問題？

Power Appsプラットフォームに関連するセキュリティの問題は、2021年5月から動いているようです。MicrosoftのPower Appsポータルで利用できるアプリの大部分は、ユーザーデータを非公開にするのではなく、関心のあるサードパーティが広く利用できるようにしています。このような脆弱性が発生した理由は、ソフトウェア開発者が独自にモバイルアプリケーションとWebアプリケーションを構築するのに役立つPower Appsプラットフォームによって提供されるアプリケーションプログラミングインターフェイス（API）に関連しています。理論的には、APIを使用すると、開発者は必要なデータを他の場所で共有せずに収集できます。それらはレコードを収集しましたが、それらのAPIはそれらをプライベートに保ちませんでした。さらに、そもそもそのように構成されているように見えるため、デフォルトで公開しました。したがって、開発者は、MicrosoftのPower Apps APIが、 他の方法では覆い隠しておくべきデータを公開しないように、手動で調整する必要がありました。

パッチはどうですか？

当初はこの問題への対処に消極的でしたが、Microsoftのセキュリティスペシャリストは、「プライバシーのニーズに最適な方法で製品を構成する際にベストプラクティスを使用する」よう顧客に促しました。さらに、Power Appsプラットフォームで利用可能なすべてのAPIは、デフォルトでデータを非公開にする必要があります。顧客に代わって追加の移動が必要です。マイクロソフトは、顧客がカスタムAPI設定を識別できるように、独自のポータルチェッカー診断ツールを起動することにより、さらに驚異的な長さを実現しました。

公開されたデータの内訳

公開された記録は、主題の点で異なります。それらのいくつかはアメリカン航空の従業員に関連していましたが、他の人はニューヨーク市の学校を指しています。およそ30万の電子メールアドレスと4万のMixedReality関係書類も、悪意のある人の手に渡った可能性があります。