De Power Apps-portalservice van Microsoft is ontworpen om de ontwikkeling van web- of mobiele apps gemakkelijker te maken. Helaas waren door een probleem met de standaard beveiligingsinstelling de gegevens van 38 miljoen gebruikers openbaar beschikbaar terwijl dat niet had moeten zijn.
Wat is er gebeurd met Microsoft Power Apps?
In wezen maakte het Microsoft Power Apps-platform standaard gegevens openbaar toegankelijk in plaats van de gegevens standaard privé te houden, zoals ontdekt door Upguard en gerapporteerd door Wired. Helaas betekende dit dat iedereen die snel een web-app in gebruik wilde nemen met deze API’s, de beveiliging handmatig moest inschakelen in plaats van andersom.
“Het UpGuard Research-team kan nu meerdere gegevenslekken onthullen die het gevolg zijn van Microsoft Power Apps-portals die zijn geconfigureerd om openbare toegang mogelijk te maken – een nieuwe vector van gegevensblootstelling”, zei Upguard in een blogpost.
Microsoft Power Apps worden gebruikt door een breed scala aan bedrijven en overheidsinstanties. Omdat het snel en gemakkelijk is om een website of app aan de gang te krijgen, werd het vrij vaak gebruikt voor COVID-19-tools zoals contacttracering, aanmeldformulieren voor vaccins, enzovoort. Het platform was ook populair voor het opslaan van sollicitatieportals en werknemersdatabases.
Deze tools kunnen gevoelige gebruikersgegevens bevatten en een schokkend aantal van hen had de beveiligingsmaatregelen niet ingeschakeld. Dat betekent dat gegevens zoals telefoonnummers, huisadressen, burgerservicenummers en de vaccinatiestatus tegen Covid-19 werden blootgesteld aan iedereen die er toevallig naar op zoek was.
Slechts een paar voorbeelden van organisaties die hierdoor getroffen zijn, zijn American Airlines, Ford, JB Hunt, het Maryland Department of Health, de New York City Municipal Transportation Authority en openbare scholen in New York City.
Is er een oplossing?
Gelukkig is de situatie al aangepakt door Microsoft. Het bedrijf heeft het nu zo gemaakt dat de standaardinstellingen niet toestaan dat API-gegevens en andere informatie openbaar beschikbaar zijn. In plaats daarvan moeten ontwikkelaars deze instelling handmatig inschakelen, wat waarschijnlijk vanaf de eerste dag had moeten zijn.
Er zullen altijd gegevens zijn die ontwikkelaars openbaar willen maken, dus ze zullen de extra stap moeten doorlopen om bepaalde gegevens beschikbaar te maken in plaats van extra moeite te doen om deze verborgen te maken. Dit is absoluut een betere manier voor mensen die deze web-apps gebruiken, omdat ze er zeker van kunnen zijn dat hun privégegevens vertrouwelijk worden behandeld. In dit geval is de schade echter aangericht. We zullen moeten wachten op de fall-out om te zien hoe erg het is.