38 milyon kişinin aşı kayıtları dahil bilgileri ifşa oldu!

Veri sızıntısı, COVID-19 aşı durumları dahil 38 milyon kaydı ifşa etti…

Araştırmacılara göre, Microsoft’un Power Apps portal platformunu kullanan bin web uygulamasında yaklaşık 38 milyon kayıt çevrimiçi olarak açıkta bırakıldı. Kayıtların COVID-19 temaslı kişilerin izleme bilgilerinde yer alan, aşı kayıtları ve ev adresleri, telefon numaraları, sosyal güvenlik numaraları ve aşı durumu bir çok bilginin içerdiği verilerden oluşuyor.

Wired’a göre American Airlines, Ford, Indiana Sağlık Bakanlığı ve New York City devlet okulları da dahil olmak üzere bazı büyük şirketler ve kurumlardan gelen veriler olayda açığa çıktı. Güvenlik açığı büyük ölçüde çözülse de bilgilerin kimlerin eline geçtiği tam olarak bilinmiyor.

Zira Güvenlik şirketi Upguard’dan araştırmacılar, Mayıs ayında konuyu araştırmaya başlamış. Özel olması gereken birçok Power Apps portalından, nereye bakacaklarını bilen herkesin bu verilere erişebileceği belirtiliyor.

Power Apps hizmeti bilindiği gibi, müşterilerin kendi web ve mobil uygulamalarını oluşturmalarını kolaylaştırmayı amaçlayan bir hizmet. Geliştiricilerin topladıkları verilerle efektif kullanmaları için uygulama programlama arayüzleri (API’ler) sunuyor. Ancak Upguard, bu API’lerin kullanılmasının Power Apps Portalları aracılığıyla elde edilen verileri varsayılan olarak herkese açık hale getirdiğini ve bilgileri gizli tutmak için manuel yeniden yapılandırmanın gerekli olduğunu ortaya çıkardı.

Upguard, hassas verilerin açığa çıktığı Power Apps portal hesaplarına bağlantılar ve verilere anonim erişim sağlayan API’leri belirleme adımları da dahil olmak üzere 24 Haziran’da Microsoft Güvenlik Kaynak Merkezi’ne bir güvenlik açığı raporu gönderdiğini söyledi. Araştırmacılar, sorunun nasıl yeniden oluşturulacağını netleştirmek için Microsoft ile birlikte çalıştı. Ancak bir Microsoft analisti firmaya 29 Haziran’da davanın kapandığını ve “bu davranışın tasarım gereği olarak kabul edildiğini belirlediklerini” söyledi.

Microsoft, ilgili makale ilk yayınlandıktan sonra ise şu açıklamayı yaptı:

“Ürünlerimiz, müşterilere çok çeşitli ihtiyaçları karşılayan ölçeklenebilir çözümler tasarlamak için esneklik ve gizlilik özellikleri sağlıyor. Ürünleri gizlilik ihtiyaçlarını en iyi şekilde karşılayacak şekilde yapılandırırken güvenlik ve gizliliği ciddiye alıyoruz ve müşterilerimizi en iyi şekilde kullanmaya teşvik ediyoruz. ” dedi.

Yine de Microsoft bu ayın başlarında geliştiricilere API’leri kullandığında Power Apps portal uygulamalarının verileri varsayılan olarak gizli tutacağını söyledi. Ayrıca, geliştiricilerin ayarlarını kontrol etmeleri için bir araç yayınladı.

Gelelim kurban var mı? sorusuna. Şu an için bu bilgilerin kimlerin eline geçtiğine dair bir kanıt yok. Upguard’a göre, açıkta kalan en hassas bilgiler arasında 332.000 e-posta adresi ve bordroda kullanılan Microsoft çalışan kimlikleri bulunuyor. Şirket ayrıca, kullanıcıların adları ve e-posta adresleri de dahil olmak üzere Microsoft Karma Gerçeklik ile ilgili portallardan 39.000’den fazla kaydın açığa çıktığını söylüyor.

Olay, ne kadar küçük görünürse görünsün yanlış bir yapılandırmanın ciddi veri ihlallerine yol açabileceğinin altını çiziyor. Bu nedenle geliştiricilerin, özellikle de kendilerinin tasarlamadıkları bir API’yi kullanırken, ayarlarını muhtemelen üç kez kontrol etmeleri gerektiğini gösteriyor.