Standaard instellingen voor machtigingen in een app-bouwtool van Microsoft krijgen de schuld voor het online vrijgeven van de gegevens van 38 miljoen mensen. Informatie, waaronder namen, e-mailadressen, telefoonnummers, burgerservicenummers en vaccinatie-afspraken tegen COVID-19, is onbedoeld openbaar gemaakt door 47 verschillende bedrijven en overheidsinstanties die gebruikmaken van het Power Apps-platform van Microsoft. Er is echter geen bewijs dat de gegevens worden uitgebuit en het onderliggende probleem is nu opgelost door Microsoft.
Het probleem werd oorspronkelijk in mei ontdekt door het beveiligingsonderzoeksteam UpGuard. In een recente blogpost van UpGuard en een rapport van Wired legt het bedrijf uit hoe organisaties die Power Apps gebruiken apps hebben gemaakt met onjuiste gegevensrechten.
“We hebben een van deze [apps] gevonden die verkeerd was geconfigureerd om gegevens bloot te leggen en we dachten, we hebben hier nog nooit van gehoord, is dit een eenmalig iets of is dit een systemisch probleem?” De vice-president van cyberonderzoek van UpGuard, Greg Pollock, vertelde Wired. “Vanwege de manier waarop het product Power Apps-portals werkt, is het heel eenvoudig om snel een enquête in te vullen. En we ontdekten dat er tonnen van deze zijn blootgesteld. Het was wild.”
“we ontdekten dat er tonnen van deze zijn blootgesteld. Het was wild.”
Met Power Apps kunnen bedrijven eenvoudige apps en websites bouwen zonder formele codeerervaring. Organisaties die betrokken waren bij de inbreuk – waaronder Ford, American Airlines, J.B. Hunt en overheidsinstanties in Maryland, New York City en Indiana – gebruikten de site om gegevens te verzamelen voor verschillende doeleinden, waaronder het organiseren van vaccinatie-inspanningen. Power Apps biedt tools voor het snel verzamelen van het soort gegevens dat nodig is in deze projecten, maar laat deze informatie standaard openbaar toegankelijk. Dit is de blootstelling die UpGuard ontdekte.
Het mechanisme van deze specifieke 'inbreuk' is interessant, omdat het de grens vervaagt tussen wat een softwarekwetsbaarheid is en wat slechts een slechte keuze is in het ontwerp van de gebruikersinterface. UpGuard zegt dat het standpunt van Microsoft is dat dit geen kwetsbaarheid was, omdat het de schuld van de gebruikers was dat de machtigingen van de apps niet correct waren geconfigureerd. Maar als je een app maakt die is ontworpen om te worden gebruikt door mensen met weinig codeerervaring, lijkt het misschien een slimme zet om dingen standaard zo veilig mogelijk te maken. Zoals gemeld door Wired, heeft Microsoft nu de standaard instellingen voor machtigingen gewijzigd die verantwoordelijk zijn voor de blootstelling.