Een tool voor het maken van apps, gemaakt door Microsoft, heeft de gegevens van naar schatting 38 miljoen mensen online gelekt. De reden van de lekken? Onjuist geconfigureerde privacy-instellingen, die zijn ingesteld om standaard openbare API-toegang te geven.
Het beveiligingsbedrijf dat het lek ontdekte, zegt dat er geen bewijs is dat de gegevens zijn misbruikt en dat Microsoft het probleem sindsdien heeft opgelost.
In mei van dit jaar merkten beveiligingsonderzoekers van UpGuard een dergelijke app op, gebouwd door het Power Apps-platform van Microsoft, die “verkeerd was geconfigureerd om gegevens bloot te leggen”. Ze vroegen zich af of het alleen die app was of dat het een “systeemprobleem” in het platform was.
Welnu, het duurde niet lang voordat ze zich realiseerden dat het systemisch was, met organisaties als Ford, American Airlines, JB Hunt en verschillende overheidsinstanties in Maryland, New York City en Indiana die allemaal gebruikersgegevens openbaar maakten.
Zelfs Microsoft was niet immuun, met een handvol oude databases die openbaar werden gemaakt. Die gegevens varieerden van namen, telefoonnummers en zelfs burgerservicenummers, en zelfs enkele medische gegevens, aangezien sommige sites werden gebruikt om COVID-19-vaccinatie-inspanningen te organiseren.
Als je nog nooit van Power Apps hebt gehoord, ben je niet de enige. We moesten ook in het platform graven en ontdekten dat het een codevrije manier is om eenvoudige websites of apps te bouwen, zowel voor de openbare site als de backend die de gegevens verwerkt. Hoewel de ontwikkelaarsdocumenten voor machtigingen praten over problemen met betrekking tot verkeerde configuratie, is de standaard wanneer deze feeds zijn ingeschakeld dat iedereen ze kan bekijken.
Microsoft heeft eindelijk een tool gemaakt om Power Apps-portals te controleren op de juiste tabelmachtigingen en plant platformwijzigingen zodat tabelmachtigingen standaard worden afgedwongen. Dat zou dit probleem in de toekomst moeten voorkomen, maar het is een grimmige herinnering dat goedbedoelde standaardinstellingen mis kunnen gaan.
Heb je hier enig idee van? Laat het ons hieronder weten in de comments of neem de discussie mee naar onze Twitter of Facebook.
