Une fuite de données dans Microsoft Power Apps expose 38 millions de dossiers de personnes

Les dossiers de 38 millions de personnes ont été divulgués en ligne, selon la société de cybersécurité UpGuard.

UpGuard a divulgué ses conclusions sur un article de blog révélant que les applications créées sur la plate-forme Power Apps de Microsoft avaient des paramètres d'autorisation incorrects, ce qui a conduit à la fuite massive.

Les types de données varient selon les sources, mais incluent les statuts de vaccination COVID-19, les numéros de sécurité sociale, les numéros de téléphone et des millions de noms complets et d'adresses e-mail. UpGuard a depuis notifié les 47 entreprises et entités gouvernementales différentes qui ont été affectées par la fuite.

Ces entités comprennent le ministère de la Santé de l'Indiana, le système scolaire public de la ville de New York, American Airlines et Microsoft.

Power Apps est un service et une plate-forme qui permet aux clients de créer leurs propres applications et propose des interfaces de programmation d'applications (API) qui permettent à ces organisations d'utiliser les données qu'elles collectent. Cependant, les informations obtenues via ces API sont rendues publiques par défaut, et à moins que les paramètres de confidentialité ne soient activés, les utilisateurs anonymes peuvent accéder librement à ces données.

Microsoft a mis en place deux correctifs pour remédier au problème: autorisations de table ont été mis en défaut, et un nouvel outil a été ajouté pour aider les utilisateurs à auto-diagnostiquer leurs applications pour trouver les failles de sécurité.

L'entreprise recommande toujours que Microsoft implémente des « modifications de code » sur la plate-forme pour s'assurer qu'une violation de données ne se reproduise plus.

UpGuard a publié ses conclusions dans l'espoir que les leaders de l'industrie technologique tirent les leçons de cette fuite massive et aident à atténuer les incidents futurs.