38 milyonluk dev bir veri sızıntısı gerçekleşti. COVID-19 temaslı izleme platformlarından elde edilen veriler, aşı kayıtları, iş başvuruları da dâhil milyonlarca veri ifşa oldu. Sızıntı ile kişilerin telefon numaralarından ev adresine ve hatta koronavirüs aşısı olup olmadığına kadar birçok kritik öneme sahip bilgi toplandı.
Sızdırılan verilerin tamamı, Microsoft'un web ya da mobil uygulama geliştirme sürecini daha kolay ve daha az zahmetli hale getiren Power Apps hizmetinde depolandı. Örneğin bir salgın sırasında hızlı bir şekilde aşı randevusu ile ilgili bir web sitesi oluşturmak gerektiğinde Power Apps hem web sitesinin oluşturulmasına hem de veri yönetiminin sağlanmasına yardımcı olabiliyor.
Siber güvenlik firması Upguard'dan araştırmacılar, mayıs ayından itibaren Microsoft'un Power Apps'ten yararlanarak yarattığı kendi projeleri de dahil olmak üzere özel olarak saklanması gereken verilerin ifşa olmasına neden olan Power Apps'ı araştırmaya başladı.
Power Apps, uygulamalar geliştirmek ve yönetmek için veri tabanı yönetimine olanak sağlamasının yanı sıra bu verilerle etkileşim sağlamak amacıyla hazır uygulama programlama arabirimlerini de sağlıyor ancak Upguard araştırmacıları, söz konusu API'ları etkinleştirirken platformun verilerin erişilebilir hale gelmesine yol açtığını tespit etti.
Power Apps ile hızlı bir şekilde anket yapmanın çok kolay olduğunu belirten Upguard'ın siber araştırmalardan sorumlu başkan yardımcısı Greg Pollock, sızdırılan veri boyutunun korkunç bir seviyede olduğunu belirtti.
Araştırmacıların tespit ettiği veri türü çeşitlilik gösterdi. Sosyal güvenlik numaralarını da içeren iş başvurusu ile alakalı veriler, Microsoft'un kendi hizmetleri ile ilgili veriler ve daha pek çok veriler söz konusu sızıntıdan etkilendi.
Microsoft'tan konu hakkında ilk açıklama geldi. Şirket şunları söyledi:
"Ürünlerimiz, müşterilere çeşitli ihtiyaçları gideren çözümler geliştirmek için pek çok gizlilik özelliği sağlar. Ürünlerimizi gizlilik ihtiyaçlarını en iyi şekilde karşılayacak şekilde yapılandırırken güvenliği ve gizliliği ciddiye alıyoruz ve müşterilerimizi en iyi şekilde kullanmaya teşvik ediyoruz."
Açığa çıkan veriler yüzünden henüz bir kişinin ya da kurumun mağdur olup olmadığı hakkında bilgi paylaşılmadı.
Dev Veri Sızıntısı ile Hangi Bilgiler Açığa Çıktıı?
- 332.000 e-posta adresi
- Bordroda kullanılan Microsoft çalışan kimlikleri
- Şirket ayrıca kullanıcıların ad ve e-posta adresleri de dahil olmak üzere Microsoft Karma Gerçeklik ile bağlantılı portallardan 39 binden fazla verinin ifşa olduğunu belirtti.
YORUMLAR