38 millions de dossiers, y compris des informations de recherche de contacts, ont été exposés en ligne
Le problème de l’augmentation de la collecte de données.
À l’ère de la surveillance constante et de la collecte de données, accrue sous le couvert des protections COVID, des histoires comme celle-ci vont devenir de plus en plus courantes.
Les Power Apps de Microsoft ont récemment été mal configurées, ce qui a permis à plus d’un millier d’applications en ligne d’être accessibles à quiconque les trouvait.
Les analystes de recherche d’Upguard, via Wired, ont découvert que plus de 38 millions d’enregistrements provenant de plus d’un millier d’applications web utilisant la plateforme de portail PowerApps de Microsoft ont été laissés en ligne.
Dans ces enregistrements, des informations telles que des adresses de domicile, des numéros de téléphone, des numéros de sécurité sociale et des statuts de vaccination auraient été extraites de tentatives de recherche de contacts COVID-19, d’enregistrements de vaccins et de bases de données d’employés.
Le ministère de la Santé du Maryland, American Airlines, Ford, J.B. Hunt et la New York City Metropolitan Transportation Authority figurent parmi les organisations touchées par l’incident. Bien que les brèches semblent avoir été résolues, la vulnérabilité liée à la mauvaise configuration étant sous contrôle, elles illustrent comment une erreur apparemment simple peut avoir des conséquences importantes.
Le service de portail PowerApps de Microsoft, une plateforme de développement qui facilite la création d’applications web ou mobiles à usage externe, contenait toutes les données exposées.
Ni les données divulguées ni aucun de leurs contenus n’ont encore été modifiés. Selon Upguard, plus de 332 000 adresses électroniques et identifiants d’employés Microsoft utilisés pour la paie ont été exposés.
Il est possible d’utiliser un portail Power Apps pour proposer une page web destinée au public ainsi que le système de gestion d’un site d’inscription aux rendez-vous de vaccination pendant une pandémie, par exemple. Outre les noms et les adresses électroniques des personnes, l’entreprise affirme que 39 000 enregistrements provenant des portails Microsoft Mixed Reality ont été exposés.
Selon Upguard, le 24 juin, elle a déposé un rapport de vulnérabilité auprès du centre de ressources de sécurité de Microsoft, qui comprenait des liens vers des comptes de portail Power Apps dont les données sensibles étaient exposées et des procédures pour découvrir les API qui permettaient un accès anonyme aux données.
Les données associées ont été rendues publiquement accessibles automatiquement lorsque les chercheurs ont activé ces API. En raison de cela, de nombreux utilisateurs ont mal configuré leurs applications en laissant les paramètres par défaut non sécurisés.
Les bases de données basées sur le cloud sont une source majeure de danger depuis des années en raison d’une mauvaise configuration. De vastes quantités de données sont ainsi vulnérables aux accès non autorisés et au vol. Le secteur s’est efforcé d’identifier les erreurs de configuration potentielles et de préserver la confidentialité des données des clients par défaut chez les principaux fournisseurs de services en nuage, mais la question n’était pas prioritaire jusqu’à récemment.
Lire aussi : L’Irlande du Nord admet la fuite de données sur les passeports vaccinaux
Source : Reclaim The Net – Traduit par Anguille sous roche
