Causes De 38 Millions De Données Utilisateur De L’application Microsoft Power Révélées Publiquement
MICROSOFT a de nouveau des ennuis sur la sécurité de ses services. Cette fois, environ 38 millions de données de la plate-forme Power App de Microsoft ont été laissées ouvertes au public pendant des mois. Ceci est basé sur l’application power ayant des paramètres de sécurité par défaut faibles.
Une étude de la société de cybersécurité UpGuard a montré qu’un certain nombre d’utilisateurs de Power App n’ont pas sécurisé leurs bases de données, comme cité par Windows Central, mardi 24 août.
Une enquête plus approfondie a révélé que la fuite de données est le résultat d’une organisation utilisant Microsoft Power Apps. La plate-forme peut être utilisée pour créer des sites Web et gérer des données, mais si elle est mal configurée, elle peut entraîner des risques de sécurité.
Power Apps peut être utilisé pour gérer les données que les organisations souhaitent publier, telles que l’emplacement des centres de vaccination, ainsi que les données qui doivent rester privées, telles que les numéros de sécurité sociale. Les paramètres par défaut de Power Apps rendent les données accessibles au public jusqu’aux dernières modifications de Microsoft
Les données laissées ouvertes provenaient de sources telles qu’American Airlines, Ford, les écoles publiques de New York et plusieurs bases de données de suivi des contacts COVID-19 de l’État.
« Nous avons trouvé l’un d’entre eux qui a été mal configuré pour exposer les données et nous nous sommes dit, nous n’en avons jamais entendu parler, s’agit-il d’un problème ponctuel ou s’agit-il d’un problème systémique? En raison du fonctionnement du produit du portail Power Apps, il est facile de mener des enquêtes rapidement. Nous avons constaté qu’il y avait beaucoup d’exposition. C’était sauvage », a déclaré Greg Pollock, vice-président de la recherche sur la cybersécurité.
UpGuard a commencé à enquêter sur un grand nombre de portails d’applications de puissance qui étaient censés être privés en mai 2021, même les applications créées par Microsoft ont été mal configurées. Cependant, bien qu’il soit ouvert au public, aucune donnée n’est connue pour avoir été volée.
Le nœud du problème réside dans les paramètres de sécurité par défaut. Par exemple, lors de la configuration d’une application Power et de la connexion d’API, la plateforme rend par défaut les données associées accessibles publiquement. Grâce à une mise à jour en août, Power Apps utilisera les paramètres par défaut pour garantir que les données restent sécurisées.
Les données exposées comprennent plusieurs plateformes de suivi des contacts COVID-19, des enregistrements de vaccination, des portails de candidature, des bases de données d’employés, etc.
« Bien que nous comprenions (et que nous soyons d’accord avec) la position de Microsoft selon laquelle le problème ici n’est pas entièrement une vulnérabilité logicielle, il s’agit d’un problème de plate-forme qui nécessite des modifications de code du produit et doit donc être dans le même flux de travail que la vulnérabilité. »
« Il s’agit d’une meilleure résolution pour modifier le produit en réponse au comportement observé des utilisateurs que d’étiqueter la perte systémique de confidentialité des données comme une mauvaise configuration de l’utilisateur final, permettant aux problèmes de persister et exposant les utilisateurs finaux aux risques de cybersécurité liés aux violations de données. »