38 millions de dossiers de patients sont mis en ligne à la suite d'une violation majeure des données
Une faille de sécurité majeure dans les portails OpenAI Power Apps de Microsoft a affecté des centaines d'applications, exposant jusqu'à présent environ 38 millions d'enregistrements. Ces derniers vont des certificats de vaccination Covid-19 aux données personnelles, y compris le statut d'emploi, les numéros de téléphone et d'adresse, les numéros de sécurité sociale, etc. Les victimes travaillent dans de petites et grandes entreprises dans de multiples industries et institutions publiques telles que les écoles et les hôpitaux.
Table des matières
Un problème en sommeil depuis des mois ?
Les problèmes de sécurité liés à la plate-forme Power Apps semblent être en mouvement depuis mai 2021. Plutôt que de garder les données des utilisateurs privées, une grande partie des applications disponibles sur le portail Power Apps de Microsoft les ont largement mises à la disposition de tous les tiers intéressés. La raison pour laquelle une telle vulnérabilité a vu le jour est liée aux interfaces de programmation d'applications (API) proposées par la plate-forme Power Apps pour aider les développeurs de logiciels à créer eux-mêmes des applications mobiles et Web. En théorie, les API devraient permettre aux développeurs de rassembler les données dont ils ont besoin sans les partager ailleurs. Bien qu'elles aient collecté des enregistrements, ces API ne les gardaient pas privées. De plus, ils les ont rendus publics par défaut car il semble que c'est ainsi qu'ils ont été configurés en premier lieu. Par conséquent, les développeurs ont dû effectuer des ajustements manuels pour empêcher les API Power Apps de Microsoft d' exposer des données qu'elles devraient autrement garder secrètes.
Qu’en est-il du patch ?
Initialement réticents à résoudre le problème, les spécialistes de la sécurité de Microsoft ont depuis exhorté leurs clients "à utiliser les meilleures pratiques lors de la configuration des produits de manière à répondre au mieux à leurs besoins en matière de confidentialité". nécessitant des déplacements supplémentaires de la part du client. Microsoft est allé encore plus loin en lançant un outil de diagnostic Portal Checker unique pour aider les clients à identifier leurs paramètres d'API personnalisés.
Répartition des données exposées
Les documents exposés varient en termes de sujet. Certains d'entre eux concernaient des employés d'American Airlines, tandis que d'autres concernaient des écoles de la ville de New York. Environ 0,3 million d'adresses e-mail et 40 000 dossiers de réalité mixte pourraient également être tombés entre de mauvaises mains.