Bijna 40 miljoen records gelekt door slechte instellingen voor Power Apps
Beveiligingsonderzoekers ontdekten dat ongeveer 38 miljoen gegevensrecords online zijn blootgesteld. Het datalek werd veroorzaakt door slecht geconfigureerde exemplaren van Microsoft Power Apps. De gelekte gegevens omvatten informatie over Covid-vaccinatie, e-mails en burgerservicenummers.
Wired meldt dat gegevens die zijn opgeslagen door grote bedrijven online zijn blootgesteld. De namen van entiteiten die gegevens lekten vanwege de configuratieproblemen, zijn openbare scholen in de stad New York, de gezondheidsafdeling van de staat Indiana, evenals American Airlines en voertuigfabrikant Ford.
Het lek is ontdekt door onderzoekers van beveiligingsbedrijf Upguard, die een paar maanden geleden met hun onderzoek begonnen. Het uiteindelijke resultaat was dat de lekkende gegevens, hoewel zogenaamd beveiligd, openbaar toegankelijk waren voor iedereen op internet.
Het probleem werd veroorzaakt door het feit dat Power App-API's gegevens die zijn verzameld met behulp van de API openbaar maken bij gebruik van de standaardinstellingen. Als de eigenaar van de respectievelijke app-portal deze informatie goed wil beveiligen, moet hij de API en app opnieuw configureren die worden gebruikt om de gegevens veilig en privé te maken.
Onderzoekers die betrokken waren bij het onderzoek stelden Microsoft op de hoogte van het probleem en stuurden links naar de specifieke Power App-portals die gegevens lekten. Enigszins verwarrend kregen onderzoekers na een korte uitwisseling met Microsoft te horen dat het probleem was opgelost, omdat dit gedrag als "by design" werd beschouwd.
Upguard-onderzoekers namen vervolgens contact op met individuele bedrijven en entiteiten die werden getroffen door het standaardconfiguratieprobleem. Binnen een paar dagen was het overgrote deel van de lekkende exemplaren van Power Apps goed beveiligd en was het probleem inderdaad opgelost.
Microsoft kwam met een verklaring dat nu iedereen die de Power Apps-portals gebruikt, zijn verzamelde gegevens standaard beveiligd en ingesteld op privé heeft. Daarnaast heeft het softwarebedrijf een speciale tool uitgebracht, ontworpen om klanten te helpen de privacy van Power Apps-gegevens eenvoudig te controleren.
Er is tot nu toe geen informatie of bewijs dat de lekkende gegevens zijn geschraapt of anderszins zijn misbruikt door kwaadwillende actoren.
Het incident heeft niet geleid tot iets dat in de buurt komt van een gegevensramp, maar het toont nog steeds aan dat zelfs een eenvoudig overzicht en vertrouwen op de standaardinstellingen in een tool waarmee u niet helemaal vertrouwd bent, kan leiden tot potentiële risico's en problemen met de gegevensbeveiliging.
