Défaut de configuration logiciel Microsoft expose des données

Logiciel Microsoft mal configuré : plus de 38 millions de données personnelles en fuite

Plus de 38 millions de données personnelles de 47 organisations qui s’appuient sur la plateforme Power Apps de Microsoft ont été exposées par inadvertance. Cela a mis en évidence un nouveau vecteur d’exposition des données. 

Un problème de configuration de Power Apps de Microsoft en cause

Des recherches menées par UpGuard, une société de sécurité informatique, ont révélé que le portail de gestion Power Apps de Microsoft avait divulgué par inadvertance les données de 47 entreprises. Suite à quoi, 38 millions de données et d’informations personnelles ont été exposées. UpGuard affirme que la plateforme Power Apps de Microsoft comprenait une faille au niveau de la configuration des données comme étant ou publiques côté clients. 

Microsoft ne considère pas ce problème de fuites de données comme une vulnérabilité, mais plutôt comme un problème de configuration qu’il peut améliorer. Pendant des mois, les portails Power Apps de Microsoft ont exposé ces données personnelles. Ce sont celles des clients d’American Airlines, de Ford, du ministère de la Santé de l’Indiana ou encore des écoles publiques de la ville de New York, les organisations les plus touchées par la fuite de données. 

Les informations personnelles utilisées pour la recherche des contacts Covid-19, les rendez-vous de vaccination Covid-19, les numéros de sécurité sociale des candidats à un emploi, les identifiants des employés et des millions de noms et d’adresses e-mail font partie des données exposées. 

Les dispositions prises par Microsoft

Défaut de configuration logiciel Microsoft expose des données

UpGuard déclare avoir informé Microsoft de la fuite de données le 24 juin 2021 afin que l’entreprise puisse prendre les mesures nécessaires pour régler le problème. UpGuard  Research souligne qu’il s’agit d’un problème de conception. Ici, il n’est strictement pas question de vulnérabilité logicielle. Il s’agit d’un problème de plateforme qui nécessite des modifications de code pour le produit, mais devrait être traité comme les vulnérabilités selon les chercheurs. 

Changer le produit en réponse aux comportements observés des utilisateurs serait une meilleure résolution. Attribuer la perte systémique de confidentialité des données à une mauvaise configuration de l’utilisateur final permet au problème de persister. Et cela exposera les utilisateurs finaux à des risques de cybersécurité, notamment à une violation de données. 

Depuis la divulgation du problème par UpGuard, Microsoft a publié un outil nommé Portal Checker pour recherche d’éventuelles fuites de données sur les portails Power Apps. L’entreprise prévoit également de modifier le produit afin que les autorisations de table soient appliquées par défaut, a déclaré UpGuard.

Pin It on Pinterest