Overslaan en naar de inhoud gaan

38 miljoen gegevens gelekt door verkeerde configuratie Power Apps

Honderden web-apps hebben per ongeluk 38 miljoen gegevens op het internet publiek toegankelijk gemaakt, als gevolg van verkeerde configuraties in Microsoft Power Apps. De data stond in de portal service van Power Apps, waarmee het gemakkelijk is om web- of mobiele apps te maken voor extern gebruik. Onder de data zitten onder meer huisadressen, BSN-nummers en vaccinatiegegevens.
Datalek
© Shutterstock.com
Shutterstock.com

Het Power Apps-platform van Microsoft biedt de mogelijkheid om interne databases te beheren, een basis om apps te ontwikkelen en een kant-en-klare API om te interacteren met data. Beveiligingsbedrijf Upguard ontdekte echter dat het gebruik van de API's voor configuratieproblemen kan zorgen, schrijft Wired. Zodra de API's ingezet worden, maakt het platform de corresponderende data standaard publiek toegankelijk. De data was nog wel af te schermen voor het publiek, maar dat moest handmatig gedaan worden.

Upguard ontdekte in mei dit jaar voor het eerst dat een app publiek toegankelijke data bevatte, terwijl die data privé had moeten blijven. Het bedrijf vroeg zich af of dit bij meer apps die de API's van Power Apps gebruikten voorkwam en startte een grootschalig onderzoek. Nu blijkt dat dit het geval was bij honderden portals, waaronder die van Ford, American Airlines en de Amerikaanse staat Indiana. En ook een aantal apps van Microsoft zelf bleken verkeerd geconfigureerd te zijn. In totaal waren 38 miljoen gegevens openbaar gemaakt op het internet.

Standaard instellingen aangepast

Upguard heeft zoveel mogelijk organisaties op de hoogte gesteld van het probleem. De onderzoekers konden echter niet alle bedrijven benaderen, omdat het er te veel waren. Daarom hebben ze hun bevindingen ook met Microsoft gedeeld.

Microsoft kondigde begin augustus aan dat API-data en andere informatie voortaan standaard wordt afgeschermd bij Power Apps. Daarnaast is er een tool uitgebracht waarmee gebruikers de instellingen van hun eigen portal kunnen controleren, om te zien of data publiekelijk beschikbaar zijn gemaakt. Volgens Upguard zijn de meeste getroffen apps inmiddels alsnog goed geconfigureerd, waardoor de data nu wel afgeschermd is. 

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in