38 Millionen Patientenakten gehen nach einer schwerwiegenden Datenschutzverletzung online
Eine große Sicherheitslücke in den OpenAI Power Apps-Portalen von Microsoft hat Hunderte von Apps betroffen und bisher etwa 38 Millionen Datensätze offengelegt. Letztere reichen von Covid-19-Impfbescheinigungen bis hin zu personenbezogenen Daten, einschließlich Beschäftigungsstatus, Telefon- und Adressnummern, Sozialversicherungsnummern usw. Die Opfer arbeiten in kleinen und großen Unternehmen in verschiedenen Branchen und öffentlichen Einrichtungen wie Schulen und Krankenhäusern.
Inhaltsverzeichnis
Ein Problem, das monatelang schlummert?
Sicherheitsprobleme im Zusammenhang mit der Power Apps-Plattform scheinen seit Mai 2021 in Bewegung zu sein. Anstatt Benutzerdaten privat zu halten, hält ein großer Teil der Apps, die auf dem Power Apps-Portal von Microsoft verfügbar sind, diese für alle interessierten Dritten bereit. Der Grund für die Entstehung einer solchen Sicherheitsanfälligkeit liegt in den Application Programming Interfaces (APIs), die von der Power Apps-Plattform angeboten werden, um Softwareentwicklern dabei zu helfen, mobile und Webanwendungen selbst zu erstellen. Theoretisch sollten die APIs es Entwicklern ermöglichen, die benötigten Daten zu sammeln, ohne sie an anderer Stelle weiterzugeben. Obwohl sie Datensätze sammelten, hielten diese APIs sie nicht privat. Darüber hinaus haben sie sie standardmäßig öffentlich gemacht, weil sie anscheinend ursprünglich so konfiguriert wurden. Daher mussten Entwickler manuelle Anpassungen vornehmen, um zu verhindern, dass die Power Apps-APIs von Microsoft Daten preisgeben, die sie ansonsten unter Verschluss halten müssten.
Was ist mit dem Patch?
Anfangs zögerten die Sicherheitsspezialisten von Microsoft, das Problem anzugehen, und forderten ihre Kunden seitdem auf, „Best Practices zu verwenden, wenn sie Produkte so konfigurieren, dass sie ihren Datenschutzanforderungen am besten entsprechen." Darüber hinaus sollten alle verfügbaren APIs auf der Power Apps-Plattform Daten standardmäßig privat halten, ohne dass Zusätzliche Schritte seitens der Kunden erforderlich sind. Microsoft hat noch mehr außergewöhnliche Anstrengungen unternommen, indem es ein einzigartiges Portal Checker-Diagnosetool eingeführt hat, um Kunden bei der Identifizierung ihrer benutzerdefinierten API-Einstellungen zu unterstützen.
Aufschlüsselung offengelegter Daten
Die exponierten Aufzeichnungen unterscheiden sich in Bezug auf die Thematik. Einige von ihnen bezogen sich auf Mitarbeiter von American Airlines, während andere auf New Yorker Schulen verwiesen. Auch rund 0,3 Millionen E-Mail-Adressen und 40.000 Mixed-Reality-Dossiers könnten potenziell in die falschen Hände geraten sein.