Un total de 38 millions d'enregistrements stockés dans des centaines de portails Microsoft Power Apps se sont retrouvés sans protection sur Internet. Le trésor de données comprenait une variété d'informations personnelles identifiables (PII) allant des noms et adresses électroniques aux numéros de sécurité sociale.
« Les types de données variaient d'un portail à l'autre, y compris des informations personnelles utilisées pour la recherche de contacts COVID-19, des rendez-vous de vaccination COVID-19, des numéros de sécurité sociale de candidats à l'emploi, des identifiants d'employés et des millions de noms et d'adresses électroniques », a déclaré UpGuard dans un articledétaillant sa découverte.
Si ces données tombaient entre de mauvaises mains, elles pourraient être utilisées par des cybercriminels pour toutes sortes d'activités illicites, allant du hameçonnage et d'autres attaques d'ingénierie sociale à l'usurpation d'identité. Les données pourraient également être vendues sur le dark web.
Les multiples fuites de données découvertes et signalées par les chercheurs provenaient de portails Microsoft Power Apps configurés pour permettre un accès public. Au lieu que certains types de données, telles que les informations nominatives, restent privées, la mauvaise configuration les a rendues accessibles au public. Pour situer le contexte, Microsoft Power Apps est un outil qui permet à quiconque de créer des sites web réactifs et donne aux utilisateurs internes et externes un accès sécurisé aux données, soit de manière anonyme, soit en utilisant des fournisseurs d'authentification commerciaux.
« Dans des cas comme les pages d'inscription aux vaccinations COVID-19, il y a des types de données qui devraient être publiques, comme les emplacements des sites de vaccination et les heures de rendez-vous disponibles, et des données sensibles qui devraient être privées, comme les informations d'identification personnelle des personnes vaccinées », explique UpGuard.
Au total, 47 institutions, entreprises et organismes gouvernementaux de tous les États-Unis ont été touchés. La liste comprend American Airlines, le constructeur automobile Ford, la société de logistique J.B. Hunt, le département de la santé du Maryland, l'autorité municipale des transports de la ville de New York, les écoles de la ville de New York et même Microsoft.
UpGuard a découvert pour la première fois le 24 mai un portail Power Apps qui contenait une liste non sécurisée avec des IPI. L'entreprise a ensuite informé le propriétaire de l'application et les données ont été sécurisées. Cependant, cette affaire a soulevé des questions quant à l'existence d'autres portails donnant accès à des quantités de données sensibles mal sécurisées. Une analyse a révélé que de nombreux portails Power Apps étaient susceptibles de stocker des informations sensibles.
Le 24 juin, l'entreprise a informé Microsoft en déposant un rapport de vulnérabilité auprès de son Security Resource Center. En plus de communiquer avec le géant technologique de Redmond, UpGuard a également notifié les organisations qui, selon elle, présentaient les expositions les plus graves.
Entre-temps, en réponse à l'incident, Microsoft a pris des mesures pour remédier à la situation en publiant des outils permettant aux utilisateurs d'autodiagnostiquer leurs portails et en activant par défaut la fonction Table Permissions, qui limite les données auxquels les utilisateurs peuvent accéder.
Rien de nouveau sous le soleil
Les bases de données mal configurées et non sécurisées peuvent être considérées comme un problème récurrent. L'année dernière, de nombreux incidents de ce type ont été signalés. Dans un cas récent, les scans médicaux de millions de patients ont été exposés en ligne, tandis qu'une autre fuite de données concernait les données de millions de clients d'hôtels. Il y a quelques jours, le Terrorist Screening Center (TSC), géré par le FBI, a laissé une liste secrète de surveillance des terroristes non sécurisée sur l'internet pendant trois semaines.
