Beheer

Privacy
Datalek

38 miljoen gegevens gelekt door verkeerde configuratie Power Apps

API's maakten data standaard publiek toegankelijk. 

24 augustus 2021

API's maakten data standaard publiek toegankelijk. 

Honderden web-apps hebben per ongeluk 38 miljoen gegevens op het internet publiek toegankelijk gemaakt, als gevolg van verkeerde configuraties in Microsoft Power Apps. De data stond in de portal service van Power Apps, waarmee het gemakkelijk is om web- of mobiele apps te maken voor extern gebruik. Onder de data zitten onder meer huisadressen, BSN-nummers en vaccinatiegegevens.

Het Power Apps-platform van Microsoft biedt de mogelijkheid om interne databases te beheren, een basis om apps te ontwikkelen en een kant-en-klare API om te interacteren met data. Beveiligingsbedrijf Upguard ontdekte echter dat het gebruik van de API's voor configuratieproblemen kan zorgen, schrijft Wired. Zodra de API's ingezet worden, maakt het platform de corresponderende data standaard publiek toegankelijk. De data was nog wel af te schermen voor het publiek, maar dat moest handmatig gedaan worden. 

Upguard ontdekte in mei dit jaar voor het eerst dat een app publiek toegankelijke data bevatte, terwijl die data privé had moeten blijven. Het bedrijf vroeg zich af of dit bij meer apps die de API's van Power Apps gebruikten voorkwam en startte een grootschalig onderzoek. Nu blijkt dat dit het geval was bij honderden portals, waaronder die van Ford, American Airlines en de Amerikaanse staat Indiana. En ook een aantal apps van Microsoft zelf bleken verkeerd geconfigureerd te zijn. In totaal waren 38 miljoen gegevens openbaar gemaakt op het internet.

Standaard instellingen aangepast

Upguard heeft zoveel mogelijk organisaties op de hoogte gesteld van het probleem. De onderzoekers konden echter niet alle bedrijven benaderen, omdat het er te veel waren. Daarom hebben ze hun bevindingen ook met Microsoft gedeeld.

Microsoft kondigde begin augustus aan dat API-data en andere informatie voortaan standaard wordt afgeschermd bij Power Apps. Daarnaast is er een tool uitgebracht waarmee gebruikers de instellingen van hun eigen portal kunnen controleren, om te zien of data publiekelijk beschikbaar zijn gemaakt. Volgens Upguard zijn de meeste getroffen apps inmiddels alsnog goed geconfigureerd, waardoor de data nu wel afgeschermd is. 

Lees meer over
Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.