Dankzij een misconfiguratie van Microsoft Power Apps, een low-code service voor het bouwen van professionele toepassingen, zijn 38 miljoen data van 47 overheids- en privacybedrijven gelekt.
38 miljoen data van wel 47 overheids- en privacybedrijven zijn gelekt dankzij een misconfiguratie in Microsoft Power Apps. Om precies te zijn, gaat het hier over data van overheden in Indiana, Maryland en New York City, maar ook organisaties als American Airlines, Ford en Microsoft zelf zijn er de dupe van.
UpGuard ontdekte in mei dat de OData API voor een Power Apps portaal anoniem toegang gaf tot gevoelige data. Hierop controleerde het securitybedrijf andere portalen en vond meer dan duizend apps met dezelfde kwetsbaarheid. Voorlopig is er geen indicatie voor misbruik van de informatie.
Hoe werkt Power Apps precies?
Dankzij Microsoft Power Apps kunnen organisaties low-code bedrijfsapplicaties bouwen met data uit Microsoft Dataverse, Microsoft 365 en andere bronnen. Via Power Apps portals creëer je een publieke website om de data van je app toegankelijk te maken. Deze websites verkrijgen hun data via Open Data Protocol of OData API’s. Zo’n API gebruikt Powers Apps lists om lijsten te trekken van databasegegevens. Een lijst bestaat uit een specifieke tabel van de database met toegevoegde parameters.
Om een lijst te beveiligen moeten bedrijven Tabelmachtigingen configureren en de Booleaanse waarde Tabelmachtigingen inschakelen op true zetten. Dit zorgt ervoor dat elke gebruiker die toegang heeft tot de pagina, alleen data waaraan machtigingen zijn verleend kan zien.
Datalek
Veel organisaties stelden de juiste machtigingen niet in en lieten zo data openlijk beschikbaar zonder het te beseffen. De gevoelige data bestonden uit persoonlijke informatie zoals COVID-19 traceer- en vaccinatiegegevens. UpGuard meldde dit in juni aan Microsoft en de Windowsgigant concludeerde dat het publiceren van data zonder beveiliging geen misstap in hun security is. Organisaties worden zelf geacht de beveiligingsnoden van hun producten in te schatten.
lees ook
Applicaties bouwen: gratis en even eenvoudig als Excel
Desalniettemin heeft Microsoft ondertussen stappen ondernomen om de tabelmachtigingen standaard in te stellen. Daarnaast verschijnt er op Microsofts documentatiepagina een roze waarschuwingskader waarin wordt aangegeven dat OData-feeds anoniem toegankelijk zijn en zonder autorisatie controleren of de tabelmachtigingen zijn uitgeschakeld.