38 millions de données d'utilisateurs exposées par Microsoft Power Apps
Agence web » Actualités du digital » 38 millions de données d’utilisateurs exposées par Microsoft Power Apps

38 millions de données d’utilisateurs exposées par Microsoft Power Apps

Le service de portail Power Apps de Microsoft est conçu pour faciliter le développement d’applications Web ou mobiles. Malheureusement, en raison d’un problème avec le paramètre de sécurité par défaut, les données de 38 millions d’utilisateurs étaient accessibles au public alors qu’elles n’auraient pas dû l’être.

Que s’est-il passé avec Microsoft Power Apps ?

Essentiellement, la plate-forme Microsoft Power Apps a par défaut rendu les données accessibles au public au lieu de garder les données privées par défaut, comme découvert par Upguard et rapporté par Wired. Malheureusement, cela signifiait que toute personne cherchant à mettre rapidement en place une application Web avec ces API devrait activer manuellement la sécurité, plutôt que l’inverse.

« L’équipe UpGuard Research peut désormais divulguer plusieurs fuites de données résultant des portails Microsoft Power Apps configurés pour autoriser l’accès public – un nouveau vecteur d’exposition des données », a déclaré Upguard dans un article de blog.

Les applications Microsoft Power sont utilisées par un large éventail d’entreprises et d’organismes gouvernementaux. Parce qu’il est rapide et facile de lancer un site Web ou une application, il a été utilisé assez fréquemment pour les outils COVID-19 tels que la recherche des contacts, les formulaires d’inscription aux vaccins, etc. La plate-forme était également populaire pour stocker des portails de candidatures et des bases de données d’employés.

Ces outils pouvaient contenir des données utilisateur sensibles, et un nombre impressionnant d’entre eux n’avaient pas activé les mesures de sécurité. Cela signifie que des données telles que les numéros de téléphone, les adresses domiciliaires, les numéros de sécurité sociale et le statut de vaccination Covid-19 ont été exposées à toute personne qui les recherchait.

Quelques exemples d’organisations concernées sont American Airlines, Ford, JB Hunt, le Maryland Department of Health, la New York City Municipal Transportation Authority et les écoles publiques de la ville de New York.

Existe-t-il un correctif ?

Heureusement, la situation a déjà été réglée par Microsoft. La société a maintenant fait en sorte que les paramètres par défaut ne permettent pas aux données de l’API et à d’autres informations d’être accessibles au public. Au lieu de cela, les développeurs devront activer ce paramètre manuellement, ce qui aurait probablement dû être le cas dès le premier jour.

Il y aura toujours des données que les développeurs voudront rendre publiques, ils devront donc passer par l’étape supplémentaire de rendre les données sélectionnées disponibles plutôt que de faire l’effort supplémentaire de les masquer. C’est certainement une meilleure façon de procéder pour les personnes utilisant ces applications Web, car cela leur permet d’être assurés que leurs données privées restent confidentielles. Cependant, le mal est fait dans ce cas. Nous devrons attendre les retombées pour voir à quel point c’est grave.

★★★★★