Plus d’un millier d’applications Web ont exposé par erreur 38 millions d’enregistrements sur Internet ouvert, y compris des données provenant d’un certain nombre de plateformes de recherche de contacts COVID-19, d’inscriptions à la vaccination, de portails de candidatures et de bases de données d’employés. Les données comprenaient une gamme d’informations sensibles, allant des numéros de téléphone et adresses personnelles des personnes aux numéros de sécurité sociale et au statut de vaccination COVID-19.
L’incident a touché de grandes entreprises et organisations, notamment American Airlines, Ford, la société de transport et de logistique JB Hunt, le ministère de la Santé du Maryland, la New York City Municipal Transportation Authority et les écoles publiques de New York. Et bien que les expositions aux données aient été traitées depuis, elles montrent comment un mauvais paramètre de configuration dans une plate-forme populaire peut avoir des conséquences considérables.
Les données exposées étaient toutes stockées dans le service de portail Power Apps de Microsoft, une plate-forme de développement qui facilite la création d’applications Web ou mobiles à usage externe. Si vous avez besoin de créer rapidement un site d’inscription aux rendez-vous de vaccination pendant, par exemple, une pandémie, les portails Power Apps peuvent générer à la fois le site public et le backend de gestion des données.
À partir de mai, des chercheurs de la société de sécurité UpGuard ont commencé à enquêter sur un grand nombre de portails Power Apps qui exposaient publiquement des données qui auraient dû être privées, y compris dans certaines Power Apps que Microsoft a créées à ses propres fins. Aucune des données n’est connue pour avoir été compromise, mais la découverte est encore importante, car elle révèle un oubli dans la conception des portails Power Apps qui a depuis été corrigé.
En plus de gérer des bases de données internes et d’offrir une base pour développer des applications, la plate-forme Power Apps fournit également des interfaces de programmation d’applications prêtes à l’emploi pour interagir avec ces données. Mais les chercheurs d’UpGuard ont réalisé qu’en activant ces API, la plate-forme par défaut rendait les données correspondantes accessibles au public. L’activation des paramètres de confidentialité était un processus manuel. En conséquence, de nombreux clients ont mal configuré leurs applications en laissant la valeur par défaut non sécurisée.
“Nous avons trouvé l’un d’entre eux qui était mal configuré pour exposer les données et nous avons pensé, nous n’en avons jamais entendu parler, est-ce une chose ponctuelle ou est-ce un problème systémique ?”, déclare Greg Pollock, vice-président de la recherche sur la cybersécurité chez UpGuard. “Grâce au fonctionnement du produit de portails Power Apps, il est très facile de réaliser rapidement une enquête. Et nous avons découvert qu’il y en avait des tonnes exposées. C’était sauvage.”
Les types d’informations sur lesquelles les chercheurs sont tombés étaient très variés. L’exposition de JB Hunt était des données de demandeur d’emploi qui comprenaient des numéros de sécurité sociale. Et Microsoft lui-même a exposé un certain nombre de bases de données dans ses propres portails Power Apps, y compris une ancienne plate-forme appelée “Global Payroll Services”, deux portails “Business Tools Support” et un portail “Customer Insights”.
L’information était limitée à bien des égards. Le fait que l’État de l’Indiana, par exemple, ait été exposé au portail Power Apps ne signifie pas que toutes les données détenues par l’État ont été exposées. Seul un sous-ensemble de données de recherche de contacts utilisé dans le portail Power Apps de l’État était impliqué.
La mauvaise configuration des bases de données basées sur le cloud a été un problème sérieux au fil des ans, exposant d’énormes quantités de données à un accès inapproprié ou au vol. Les principales sociétés de cloud comme Amazon Web Services, Google Cloud Platform et Microsoft Azure ont toutes pris des mesures pour stocker les données des clients en privé par défaut dès le départ et signaler les erreurs de configuration potentielles, mais l’industrie n’a pas priorisé le problème jusqu’à assez récemment.
Après des années à étudier les erreurs de configuration du cloud et les expositions aux données, les chercheurs d’UpGuard ont été surpris de découvrir ces problèmes sur une plate-forme qu’ils n’avaient jamais vue auparavant. UpGuard a tenté d’enquêter sur les expositions et d’informer autant d’organisations concernées que possible. Cependant, les chercheurs n’ont pas pu accéder à toutes les entités, car il y en avait trop, ils ont donc également divulgué les résultats à Microsoft. Début août, Microsoft a annoncé que les portails Power Apps stockeront désormais par défaut les données API et autres informations en privé. La société a également publié un outil que les clients peuvent utiliser pour vérifier les paramètres de leur portail. Microsoft n’a pas répondu à une demande de commentaire de WIRED.
Alors que les organisations individuelles prises dans la situation auraient théoriquement pu trouver le problème elles-mêmes, Pollock d’UpGuard souligne qu’il incombe aux fournisseurs de cloud d’offrir des valeurs par défaut sécurisées et privées. Sinon, il est inévitable que de nombreux utilisateurs exposent involontairement des données.
C’est une leçon que toute l’industrie a lentement, parfois douloureusement, dû apprendre.
“Les paramètres sécurisés par défaut sont importants”, déclare Kenn White, directeur de l’Open Crypto Audit Project. Si les développeurs de divers secteurs et de divers horizons techniques continuent de faire les mêmes faux pas sur une plate-forme, les projecteurs devraient être braqués sur le constructeur de cette plate-forme.”
Entre les correctifs de Microsoft et les propres notifications d’UpGuard, Pollock affirme que la grande majorité des portails exposés, et tous les plus sensibles, sont désormais privés.
“Avec d’autres choses sur lesquelles nous avons travaillé, il est de notoriété publique que les buckets cloud peuvent être mal configurés, il ne nous incombe donc pas d’aider à les sécuriser tous”, dit-il. “Mais personne ne les avait jamais nettoyés auparavant, alors nous sentions que nous avions le devoir éthique de sécuriser au moins les plus sensibles avant de pouvoir parler des problèmes systémiques.”
Cette histoire est apparue à l’origine sur wired.com.