Jorg Greuel | Getty Images
Plus d’un millier d’applications Web ont exposé par erreur 38 millions d’enregistrements sur l’Internet ouvert, y compris des données provenant d’un certain nombre de plates-formes de recherche de contacts COVID-19, d’inscriptions à la vaccination, de portails de candidatures et de bases de données d’employés. Les données comprenaient une gamme d’informations sensibles, allant des numéros de téléphone et des adresses personnelles des personnes aux numéros de sécurité sociale et au statut de vaccination COVID-19.
L’incident a touché de grandes entreprises et organisations, notamment American Airlines, Ford, la société de transport et de logistique JB Hunt, le Maryland Department of Health, la New York City Municipal Transportation Authority et les écoles publiques de New York. Et bien que les expositions aux données aient depuis été corrigées, elles montrent comment un mauvais paramètre de configuration dans une plate-forme populaire peut avoir des conséquences de grande envergure.
Les données exposées étaient toutes stockées dans le service de portail Power Apps de Microsoft, une plate-forme de développement qui facilite la création d’applications Web ou mobiles à usage externe. Si vous devez créer rapidement un site d’inscription à un rendez-vous pour les vaccins pendant, par exemple, une pandémie, les portails Power Apps peuvent générer à la fois le site public et le backend de gestion des données.
À partir de mai, les chercheurs de la société de sécurité UpGuard ont commencé enquêter un grand nombre de portails Power Apps qui ont exposé publiquement des données qui auraient dû être privées, y compris dans certaines Power Apps que Microsoft a créées pour ses propres besoins. Aucune des données n’est connue pour avoir été compromise, mais la découverte est toujours importante, car elle révèle un oubli dans la conception des portails Power Apps qui a depuis été corrigé.
En plus de gérer les bases de données internes et d’offrir une base pour développer des applications, la plate-forme Power Apps fournit également des interfaces de programmation d’applications prêtes à l’emploi pour interagir avec ces données. Mais les chercheurs d’UpGuard se sont rendu compte que lors de l’activation de ces API, la plate-forme par défaut rendait les données correspondantes accessibles au public. L’activation des paramètres de confidentialité était un processus manuel. En conséquence, de nombreux clients ont mal configuré leurs applications en laissant la valeur par défaut non sécurisée.
« Nous en avons trouvé un qui était mal configuré pour exposer les données et nous avons pensé, nous n’en avons jamais entendu parler, est-ce une chose unique ou est-ce un problème systémique ? » déclare Greg Pollock, vice-président de la recherche cyber d’UpGuard. « En raison du fonctionnement du produit des portails Power Apps, il est très facile de réaliser rapidement une enquête. Et nous avons découvert qu’il y en a des tonnes qui sont exposées. C’était sauvage.
Les types d’informations sur lesquelles les chercheurs sont tombés étaient très variés. L’exposition de JB Hunt était des données de demandeur d’emploi qui comprenaient des numéros de sécurité sociale. Et Microsoft a lui-même exposé un certain nombre de bases de données dans ses propres portails Power Apps, y compris une ancienne plate-forme appelée « Global Payroll Services », deux portails « Business Tools Support » et un portail « Customer Insights ».
L’information était limitée à bien des égards. Le fait que l’État de l’Indiana, par exemple, ait une exposition au portail Power Apps ne signifie pas que toutes les données détenues par l’État ont été exposées. Seul un sous-ensemble de données de recherche de contacts utilisées dans le portail Power Apps de l’État était impliqué.
Une mauvaise configuration des bases de données basées sur le cloud a été un problème grave au fil des ans, exposant d’énormes quantités de données à un accès inapproprié ou à un vol. Les grandes entreprises de cloud comme Amazon Web Services, Google Cloud Platform et Microsoft Azure ont toutes pris pas stocker les données des clients de manière privée par défaut dès le départ et signaler les erreurs de configuration potentielles, mais l’industrie n’a priorisé le problème que récemment.
Après des années d’étude des mauvaises configurations du cloud et de l’exposition des données, les chercheurs d’UpGuard ont été surpris de découvrir ces problèmes dans une plate-forme qu’ils n’avaient jamais vue auparavant. UpGuard a tenté d’enquêter sur les expositions et d’informer autant d’organisations concernées que possible. Les chercheurs n’ont pas pu accéder à toutes les entités, car il y en avait trop, ils ont donc également divulgué les résultats à Microsoft. Début août, Microsoft annoncé que les portails Power Apps stockeront désormais par défaut les données de l’API et d’autres informations en privé. La compagnie a également a sorti un outil les clients peuvent utiliser pour vérifier les paramètres de leur portail. Microsoft n’a pas répondu à une demande de commentaire de WIRED.
Alors que les organisations individuelles prises dans la situation auraient théoriquement pu trouver le problème elles-mêmes, Pollock d’UpGuard souligne qu’il incombe aux fournisseurs de cloud d’offrir des valeurs par défaut sécurisées et privées. Sinon, il est inévitable que de nombreux utilisateurs exposent involontairement des données.
C’est une leçon que toute l’industrie a lentement, parfois douloureusement, dû apprendre.
« Les paramètres par défaut sécurisés sont importants », déclare Kenn White, directeur du projet Open Crypto Audit. « Lorsqu’un modèle émerge dans des systèmes Web construits à l’aide d’une technologie particulière qui continuent d’être mal configurés, quelque chose ne va vraiment pas. Si les développeurs de diverses industries et formations techniques continuent de faire les mêmes faux pas sur une plate-forme, les projecteurs devraient être braqués sur le constructeur de cette plate-forme.
Entre les correctifs de Microsoft et les propres notifications d’UpGuard, Pollock affirme que la grande majorité des portails exposés, et tous les plus sensibles, sont désormais privés.
« Avec d’autres éléments sur lesquels nous avons travaillé, il est de notoriété publique que les compartiments cloud peuvent être mal configurés, il ne nous incombe donc pas de les sécuriser tous », dit-il. « Mais personne ne les avait jamais nettoyés auparavant, nous avons donc estimé que nous avions le devoir éthique de sécuriser au moins les plus sensibles avant de pouvoir parler des problèmes systémiques. »
Cette histoire est apparue à l’origine sur wired.com.
Source link
