- Plus de 38 millions d'enregistrements ont été divulgués en ligne à cause de personnes utilisant des configurations par défaut dans les portails Microsoft Power Apps.
- Ces données sensibles qui ont été exposées ont toutes été stockées dans le service de portail Power Apps de Microsoft, selon les chercheurs.
- Lors de l'activation de certaines API, la plate-forme a par défaut rendu les données correspondantes accessibles au public.
- La mauvaise configuration des bases de données basées sur le cloud a été un problème sérieux au fil des ans, exposant d'énormes quantités de données à un accès inapproprié ou à un vol.
Comme vous le savez, Power Apps est la plate-forme low-code de Microsoft permettant aux organisations de développer rapidement des applications à part entière, principalement à usage interne, avec un frontend et un backend.
C'est vraiment un outil puissant, qui vous permet de créer des applications, même si vous n'êtes pas très compétent en programmation.
Même si Microsoft met régulièrement à jour Power Apps avec de nouvelles fonctionnalités et capacités, un nouveau rapport peut être une source de préoccupation pour les organisations.
Il semblerait que plus de 38 millions d'enregistrements aient été divulgués en ligne à cause de personnes utilisant des configurations par défaut dans les portails Microsoft Power Apps.
L'incident a touché de grandes entreprises telles que American Airlines, Ford, la société de transport et de logistique J.B. Hunt, le Maryland Department of Health, la New York City Municipal Transportation Authority et le public de la ville de New York écoles.
Et bien que les expositions aux données aient été corrigées, elles montrent comment un mauvais paramètre de configuration dans une plate-forme populaire peut avoir des conséquences de grande envergure.
Informations de recherche de contacts exposées sur Internet
Les données exposées étaient toutes stockées dans le service de portail Power Apps de Microsoft, qui est une plate-forme de développement qui facilite la création d'applications Web ou mobiles à usage externe.
Si vous devez créer rapidement un site d'inscription à un rendez-vous pour les vaccins pendant, par exemple, une pandémie, les portails Power Apps peuvent générer à la fois le site public et le backend de gestion des données.
En mai, des chercheurs de la société de sécurité Upguard commencé à enquêter un grand nombre de portails Power Apps qui exposaient publiquement des données qui auraient dû être privées.
Parmi celles-ci se trouvaient certaines Power Apps que Microsoft a créées à ses propres fins.
Cependant, aucune des données n'est connue pour avoir été compromise, mais la découverte est toujours importante, car elle révèle un oubli dans la conception des portails Power Apps qui a depuis été corrigé.
En plus de gérer des bases de données internes et d'offrir une base pour développer des applications, la plate-forme Power Apps fournit également des interfaces de programmation d'applications prêtes à l'emploi pour interagir avec ces données.
Une mauvaise configuration entraîne une vulnérabilité
Les chercheurs d'Upguard ont réalisé que lors de l'activation de ces API, la plate-forme par défaut rendait les données correspondantes accessibles au public.
L'activation des paramètres de confidentialité était un processus manuel et, par conséquent, de nombreux clients ont mal configuré leurs applications en laissant la valeur par défaut non sécurisée.
Nous avons trouvé l'un d'entre eux qui était mal configuré pour exposer des données et nous avons pensé, nous n'en avons jamais entendu parler, est-ce une chose unique ou est-ce un problème systémique? En raison du fonctionnement du produit des portails Power Apps, il est très facile de réaliser rapidement une enquête. Et nous avons découvert qu'il y en a des tonnes qui sont exposées. C'était sauvage.
Microsoft a lui-même exposé un certain nombre de bases de données dans ses propres portails Power Apps, y compris un ancien plate-forme appelée Global Payroll Services, deux portails Business Tools Support et un Customer Insights portail.
La mauvaise configuration des bases de données basées sur le cloud a été un problème sérieux au fil des ans, exposant d'énormes quantités de données à un accès inapproprié ou à un vol.
Les grandes entreprises de cloud comme Amazon Web Services, Google Cloud Platform et Microsoft Azure ont toutes pris des mesures pour stocker les données des clients en privé par défaut dès le début et signaler les erreurs de configuration potentielles, mais l'industrie n'a pas priorisé le problème jusqu'à ce qu'assez récemment.
Les chercheurs d'Upguard n'ont pas pu accéder à toutes les entités, car il y en avait trop, ils ont donc également divulgué les résultats à Microsoft.
Les utilisateurs peuvent vérifier les paramètres de leur portail avec l'outil de Microsoft
Début août, Microsoft a annoncé que les portails Power Apps stockeront désormais par défaut les données de l'API et d'autres informations en privé.
La société de Redmond a également a sorti un outil les clients peuvent utiliser pour vérifier les paramètres de leur portail.
Mais, entre les correctifs de Microsoft et les propres notifications d'UpGuard, les experts disent désormais que la grande majorité des portails exposés, et tous les plus sensibles, sont désormais privés.
Avec d'autres choses sur lesquelles nous avons travaillé, il est de notoriété publique que les compartiments cloud peuvent être mal configurés, il ne nous incombe donc pas de les sécuriser tous. Mais personne ne les avait jamais nettoyés auparavant, nous avons donc estimé que nous avions le devoir éthique de sécuriser au moins les plus sensibles avant de pouvoir parler des problèmes systémiques.
Quelle est votre opinion sur toute cette situation? Partagez vos réflexions avec nous dans la section commentaires ci-dessous.
