Uppteckningarna för 38 miljoner människor har läckt ut online, enligt cybersäkerhetsföretaget UpGuard.
UpGuard avslöjade sina resultat i ett blogginlägg som avslöjade att appar skapade på Microsofts Power Apps-plattform hade felaktiga behörighetsinställningar, vilket ledde till den enorma läckan.
Datatyperna varierar mellan källor, men inkluderar covid-19-vaccinationsstatus, personnummer, telefonnummer och miljontals fullständiga namn och e-postadresser. UpGuard har sedan dess underrättat de 47 olika företag och statliga enheter som påverkades av läckan.
Dessa enheter inkluderar Indiana Department of He alth, New Yorks offentliga skolsystem, American Airlines och Microsoft.
Power Apps är en tjänst och plattform som tillåter kunder att skapa sina egna appar och erbjuder applikationsprogrammeringsgränssnitt (API) som gör att dessa organisationer kan använda den data de samlar in. Informationen som erhålls via dessa API:er offentliggörs dock som standard, och såvida inte sekretessinställningar är aktiverade kan anonyma användare fritt komma åt denna data.
Microsoft har implementerat två korrigeringar för att åtgärda problemet: tabellbehörigheter har gjorts till standard och ett nytt verktyg har lagts till för att hjälpa användare att självdiagnostisera sina appar för att hitta eventuella säkerhetsbrister.
Företaget rekommenderar fortfarande att Microsoft implementerar "kodändringar" på plattformen för att säkerställa att ett dataintrång inte inträffar igen.
UpGuard publicerade sina resultat i hopp om att ledare inom teknikindustrin lär sig av denna enorma läcka och hjälper till att mildra framtida incidenter.
