38 miljoen gegevens gelekt door verkeerde configuratie Power Apps

Het Power Apps-platform van Microsoft biedt de mogelijkheid om interne databases te beheren, een basis om apps te ontwikkelen en een kant-en-klare API om te interacteren met data. Beveiligingsbedrijf Upguard ontdekte echter dat het gebruik van de API's voor configuratieproblemen kan zorgen, schrijft Wired. Zodra de API's ingezet worden, maakt het platform de corresponderende data standaard publiek toegankelijk. De data was nog wel af te schermen voor het publiek, maar dat moest handmatig gedaan worden.

Upguard ontdekte in mei dit jaar voor het eerst dat een app publiek toegankelijke data bevatte, terwijl die data privé had moeten blijven. Het bedrijf vroeg zich af of dit bij meer apps die de API's van Power Apps gebruikten voorkwam en startte een grootschalig onderzoek. Nu blijkt dat dit het geval was bij honderden portals, waaronder die van Ford, American Airlines en de Amerikaanse staat Indiana. En ook een aantal apps van Microsoft zelf bleken verkeerd geconfigureerd te zijn. In totaal waren 38 miljoen gegevens openbaar gemaakt op het internet.

Standaard instellingen aangepast

Upguard heeft zoveel mogelijk organisaties op de hoogte gesteld van het probleem. De onderzoekers konden echter niet alle bedrijven benaderen, omdat het er te veel waren. Daarom hebben ze hun bevindingen ook met Microsoft gedeeld.

Microsoft kondigde begin augustus aan dat API-data en andere informatie voortaan standaard wordt afgeschermd bij Power Apps. Daarnaast is er een tool uitgebracht waarmee gebruikers de instellingen van hun eigen portal kunnen controleren, om te zien of data publiekelijk beschikbaar zijn gemaakt. Volgens Upguard zijn de meeste getroffen apps inmiddels alsnog goed geconfigureerd, waardoor de data nu wel afgeschermd is.