38 millions d’enregistrements ont été divulgués en ligne – y compris les informations de suivi des contacts

38 millions d’enregistrements ont été divulgués en ligne – y compris les informations de suivi des contacts

27 août 2021 0 Par Le Caiman

Plus d’un millier d’applications Web ont accidentellement révélé 38 millions d’enregistrements Internet ouverts, y compris des données de plusieurs plates-formes de suivi des contacts COVID-19, des signatures de vaccination, des portails de candidatures et des bases de données d’employés. Les données comprenaient une gamme d’informations sensibles, allant des numéros de téléphone et des adresses personnelles des personnes aux numéros de sécurité sociale et au statut de vaccination COVID-19.

L’incident a touché de grandes entreprises et organisations, notamment American Airlines, Ford, la société de transport et de logistique JB Hunt, le ministère de la Santé du Maryland, la New York City Municipal Transportation Authority et les écoles publiques de New York. Et bien que les expositions aux données aient depuis été corrigées, elles montrent comment un site de configuration médiocre sur une plate-forme populaire peut avoir des conséquences de grande envergure.

 

Toutes les données divulguées sont stockées dans le service de portail Power Apps de Microsoft, une plate-forme de développement qui facilite la création d’applications Web ou mobiles à usage externe. Si vous devez vous réveiller rapidement avec un site de rendez-vous pour les vaccins signé pendant, par exemple, une pandémie, les portails Power Apps peuvent générer le site devant le public et le week-end de gestion des données.

À partir de mai, les chercheurs de la société de sécurité UpGuard ont commencé enquêter un grand nombre de portails Power Apps qui ont divulgué publiquement des données qui doivent rester privées, y compris dans un certain nombre de Power Apps créées par Microsoft à ses propres fins. Aucune des données n’est connue pour avoir été compromise, mais le résultat est toujours remarquable, car il révèle un oubli dans la conception des portails Power Apps qui ont depuis été corrigés.

En plus de gérer les bases de données internes et d’offrir une base pour le développement d’applications, la plate-forme Power Apps fournit des interfaces d’application programmables prêtes à interagir avec ces données. Mais les chercheurs d’UpGuard ont réalisé que lorsqu’ils ont activé ces API, la plate-forme n’a pas réussi à rendre les données correspondantes accessibles au public. L’activation des paramètres de confidentialité était un processus manuel. En conséquence, de nombreux clients ne correspondaient pas à leurs applications en laissant la valeur par défaut sans surveillance.

« Nous avons trouvé l’un d’entre eux qui était mal formé pour divulguer des données et nous avons pensé, nous n’en avons jamais entendu parler, est-ce un problème ponctuel ou est-ce une question systémique ? », Dit Greg Pollock, vice-président de la cyber-recherche d’UpGuard. « En raison de la façon dont fonctionne le produit du portail Power Apps, il est très facile d’effectuer une enquête rapidement. Et nous avons constaté que des tonnes d’entre eux sont exposés. C’était fou. »

Il y avait un large éventail d’informations. La divulgation de JB Hunt était des données de demandeur d’emploi qui comprenaient des numéros de sécurité sociale. Et Microsoft a dévoilé un certain nombre de bases de données dans ses propres portails Power Apps, y compris une ancienne plate-forme appelée « Global Payroll Services », deux portails « Business Tools Support » et un portail « Customer Insights ».

L’information était limitée à bien des égards. L’état de divulgation du portail Power Apps par l’Indiana, par exemple, ne signifie pas que toutes les données appartenant à l’État ont été divulguées. Il ne contenait qu’un sous-ensemble de données de suivi des contacts utilisées dans le portail Power Apps de l’État.

Les bases de données basées sur le cloud ont été mal configurées une question sérieuse au fil des années, révélant d’énormes quantités de données accès inapproprié ou vol. Les grandes entreprises de cloud comme Amazon Web Services, Google Cloud Platform et Microsoft Azure sont toutes là construit degrés pour stocker les données des clients de manière privée par défaut dès le départ et pour signaler les malentendus potentiels, mais la question n’a pas été priorisée par l’industrie jusqu’à récemment.

Après des années d’étude des idées fausses sur le cloud et de l’exposition des données, les chercheurs d’UpGuard ont été surpris de découvrir ces problèmes dans une plate-forme qu’ils n’avaient jamais vue auparavant. UpGuard a essayé d’enquêter sur les expositions et d’informer autant d’organisations que possible. Cependant, les chercheurs n’ont pas pu trouver toutes les entités, car il y en avait trop, ils ont donc également révélé les résultats à Microsoft. Début août, Microsoft annonçait que les portails Power Apps ne parvenaient pas à stocker les données d’API et d’autres informations de manière privée. L’entreprise aussi libération de l’outil peut être utilisé par les clients pour vérifier leurs paramètres de seuil.

Alors que les organisations individuelles impliquées dans l’histoire peuvent théoriquement trouver le problème elles-mêmes, Pollock UpGuard souligne que les fournisseurs de cloud sont obligés d’offrir des valeurs par défaut privées et privées. Sinon, il est inévitable que de nombreux utilisateurs divulguent des données par inadvertance.

C’est une leçon à tirer par l’ensemble de l’industrie lentement, parfois douloureusement.

« Les paramètres par défaut sécurisés sont importants », déclare Kenn White, directeur du Crypto Open Audit Project. « Lorsqu’un modèle émerge dans les systèmes Web construits à l’aide d’une certaine technologie qui continue d’être malformé, quelque chose ne va pas. Si des développeurs d’industries et de formations techniques différentes continuent à fabriquer les mêmes missiles sur une plate-forme, l’accent doit être mis sur le constructeur de cette plate-forme. « 

Entre les paramètres de Microsoft et les propres notifications d’UpGuard, Pollock affirme que la grande majorité des portails exposés, et les plus sensibles de tous, sont désormais privés.

« Avec d’autres choses sur lesquelles nous avons travaillé, le public sait que les compartiments cloud peuvent ne pas correspondre, nous n’avons donc pas à les sécuriser tous », dit-il.

« Mais personne ne les a jamais nettoyés auparavant, nous avons donc estimé qu’il était de notre devoir éthique d’obtenir au moins les plus sensibles avant de pouvoir parler des problèmes systémiques. »