- Meer dan 38 miljoen records zijn online gelekt omdat mensen standaardconfiguraties gebruiken in Microsoft Power Apps-portals.
- Deze gevoelige gegevens die werden blootgelegd, werden volgens onderzoekers allemaal opgeslagen in de Power Apps-portalservice van Microsoft.
- Bij het inschakelen van bepaalde API's maakte het platform standaard de bijbehorende gegevens openbaar toegankelijk.
- De verkeerde configuratie van cloudgebaseerde databases is in de loop der jaren een serieus probleem geweest, waardoor enorme hoeveelheden gegevens zijn blootgesteld aan ongepaste toegang of diefstal.
Zoals je weet is Power Apps het low-code platform van Microsoft waarmee organisaties snel volwaardige applicaties kunnen ontwikkelen, veelal voor intern gebruik, compleet met een frontend en een backend.
Het is echt een krachtige tool waarmee je apps kunt bouwen, zelfs als je niet goed bent in programmeren.
Hoewel Microsoft Power Apps regelmatig bijwerkt met nieuwe functies en mogelijkheden, kan een nieuw rapport zorgen baren voor organisaties.
Het lijkt erop dat er meer dan 38 miljoen records online zijn gelekt omdat mensen standaardconfiguraties gebruiken in Microsoft Power Apps-portals.
Het incident trof grote bedrijven zoals American Airlines, Ford, het transport- en logistiekbedrijf J.B. Hunt, het Maryland Department of Health, de New York City Municipal Transportation Authority en New York City public scholen.
En hoewel de gegevensblootstellingen zijn aangepakt, laten ze zien hoe een slechte configuratie-instelling in een populair platform verstrekkende gevolgen kan hebben.
Contact-traceringsinformatie die via internet wordt weergegeven
De beschikbare gegevens zijn allemaal opgeslagen in de Power Apps-portalservice van Microsoft, een ontwikkelplatform waarmee u eenvoudig web- of mobiele apps voor extern gebruik kunt maken.
Als u tijdens bijvoorbeeld een pandemie snel een aanmeldingssite voor vaccinafspraken moet opstarten, kunnen Power Apps-portals zowel de openbare site als de backend voor gegevensbeheer genereren.
In mei hebben onderzoekers van het beveiligingsbedrijf Upguard begon te onderzoeken een groot aantal Power Apps-portals die openbaar toegankelijke gegevens bevatten die privé hadden moeten zijn.
Hiertoe behoorden enkele Power Apps die Microsoft voor eigen doeleinden maakte.
Het is echter bekend dat geen van de gegevens is aangetast, maar de bevinding is nog steeds een belangrijke, omdat het een onoplettendheid in het ontwerp van Power Apps-portals aan het licht brengt die sindsdien is verholpen.
Naast het beheren van interne databases en het bieden van een basis om apps te ontwikkelen, biedt het Power Apps-platform ook kant-en-klare applicatie-programmeerinterfaces om met die gegevens te communiceren.
Verkeerde configuratie leidt tot kwetsbaarheid
De onderzoekers van Upguard realiseerden zich dat bij het inschakelen van deze API's het platform standaard de bijbehorende gegevens openbaar toegankelijk maakte.
Het inschakelen van privacy-instellingen was een handmatig proces en als gevolg daarvan hebben veel klanten hun apps verkeerd geconfigureerd door de onveilige standaard te verlaten.
We vonden een van deze die verkeerd was geconfigureerd om gegevens bloot te leggen en we dachten, we hebben hier nog nooit van gehoord, is dit een eenmalig iets of is dit een systemisch probleem? Vanwege de manier waarop het product Power Apps-portals werkt, is het heel eenvoudig om snel een enquête in te vullen. En we ontdekten dat er tonnen van deze zijn blootgesteld. Het was wild.
Microsoft heeft zelf een aantal databases in zijn eigen Power Apps-portals blootgelegd, waaronder een oude platform genaamd Global Payroll Services, twee Business Tools Support-portals en een Customer Insights portaal.
De verkeerde configuratie van cloudgebaseerde databases is in de loop der jaren een serieus probleem geweest, waardoor enorme hoeveelheden gegevens zijn blootgesteld aan ongepaste toegang of diefstal.
Grote cloudbedrijven zoals Amazon Web Services, Google Cloud Platform en Microsoft Azure hebben allemaal stappen ondernomen om de gegevens van klanten op te slaan privé standaard vanaf het begin en markeer mogelijke verkeerde configuraties, maar de industrie gaf het probleem pas op een eerlijke manier prioriteit onlangs.
De Upguard-onderzoekers konden niet bij elke entiteit komen, omdat het er te veel waren, dus maakten ze de bevindingen ook bekend aan Microsoft.
Gebruikers kunnen hun portalinstellingen controleren met de tool van Microsoft
Begin augustus, Microsoft heeft aangekondigd dat Power Apps-portals nu standaard API-gegevens en andere informatie privé opslaan.
Het bedrijf Redmond ook een tool uitgebracht klanten kunnen gebruiken om hun portalinstellingen te controleren.
Maar tussen de fixes van Microsoft en de eigen meldingen van UpGuard zeggen experts nu dat de overgrote meerderheid van de blootgestelde portals, en alle meest gevoelige, nu privé zijn.
Met andere dingen waar we aan hebben gewerkt, is het algemeen bekend dat cloudbuckets verkeerd kunnen worden geconfigureerd, dus het is niet aan ons om ze allemaal te helpen beveiligen. Maar niemand had deze ooit eerder opgeruimd, dus we vonden dat we de ethische plicht hadden om in ieder geval de meest gevoelige te beveiligen voordat we over de systemische problemen konden praten.
Wat is uw mening over deze hele situatie? Deel uw mening met ons in de opmerkingen hieronder.
