Social media
American Airlines i Ford wśród ofiar cyberataku. Wyciekły dane o Covid-19
38 milionów rekordów wyciekło z amerykańskich systemów informatycznych różnych firm – donosi firma Upguard. W efekcie cyberataku na platformę Power Apps Microsoftu w ręce hakerów trafiły dane z ponad tysiąca aplikacji takich firm jak American Airlines i Ford, a także instytucji edukacyjnych i ochrony zdrowia. Wśród informacji przejętych w wyniku ataku są prywatne dane Amerykanów, także te związane z Covid-19.
Według badaczy z firmy Upguard około 38 mln rekordów z ponad tysiąca aplikacji internetowych, które korzystają z platformy Power Apps Microsoftu, zostało ujawnionych w sieci.
Rekordy te zawierały dane dotyczące Covid-19, rejestry osób zaszczepionych i bazy danych pracowników różnych firm, takie jak adresy domowe, numery telefonów, numery ubezpieczenia społecznego i status szczepień.
Błąd na platformie Microsoftu
Jak podaje serwis Wired, w incydencie zostały ujawnione dane niektórych dużych firm i instytucji, w tym American Airlines, Forda, Departamentu Zdrowia Indiany i nowojorskich szkół publicznych.
Naukowcy z firmy Upguard zaczęli badać ten problem w maju br. Odkryli, że dane z wielu aplikacji Power Apps, które miały być prywatne, były dostępne dla każdego, kto wiedział, gdzie ich szukać.
Usługa Power Apps ma na celu ułatwienie klientom tworzenia własnych aplikacji internetowych i mobilnych. Oferuje ona interfejsy programowania aplikacji (API) dla programistów, aby mogli oni korzystać z zebranych danych. Jednak według Upguard korzystanie z tych interfejsów API sprawia, że dane uzyskane za pośrednictwem usługi Power Apps są domyślnie publiczne, a do zachowania prywatności informacji wymagana była ręczna rekonfiguracja.
Power Apps do poprawy
Upguard twierdzi, że 24 br. czerwca wysłał raport o luce do Microsoft Security Resource Center, zawierający linki do kont Power Apps, na których wrażliwe dane zostały ujawnione oraz kroki mające na celu zidentyfikowanie API, które umożliwiły anonimowy dostęp do danych.
Naukowcy współpracowali z Microsoftem, aby wyjaśnić, jak rozwiązać problem. 29 czerwca analityk koncernu poinformował że sprawa została zamknięta, a luka w większości załatana. Firma zapewnia, że stale pracuje nad udoskonaleniem zabezpieczeń związanych z jej platformą.
Microsoft poinformował, że Power Apps będzie domyślnie utrzymywać dane w tajemnicy, gdy programiści wykorzystają API. Ponadto, udostępnił narzędzie dla deweloperów, aby sprawdzić ustawienia Power Apps.
Na razie nic nie wskazuje na to, że którekolwiek z ujawnionych danych zostały wykorzystane w dokonaniu cyberprzestępstw. Wśród najbardziej wrażliwych informacji, które zostały pozostawione w otwartej przestrzeni w sieci, znalazły się także 332 tys. adresów e-mail i identyfikatorów pracowników Microsoftu. Upguard twierdzi również, że ujawniono ponad 39 tys. rekordów z portali związanych z Microsoft Mixed Reality, w tym nazwiska i adresy e-mail użytkowników.
Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.
