Une mauvaise configuration des autorisations par défaut de Microsoft Power Apps (un produit permettant de créer des applications de business intelligence « low code » hébergées dans le cloud) a exposé 38 millions d’enregistrements contenant des informations personnelles révèle la plateforme de cybersécurité UpGuard.

Ces fuites de données provenaient de 47 portails américains, notamment d’organismes gouvernementaux comme l’Etat de l’Indiana, le département de la santé du Maryland et les départements de l’Éducation et des Transports de la ville de New York, mais aussi de sociétés privées comme American Airlines, le transporteur JB Hunt, Ford et …Microsoft.

On pouvait ainsi accéder à des informations personnelles utilisées pour la recherche des cas contacts Covid-19, à des rendez-vous de vaccination, des numéros de sécurité sociale de candidats à un emploi, des identifiants de salariés ainsi qu’à des millions de noms et d’adresses électroniques.

Comme le précise Upguard, il ne s’agit pas à proprement parler d’une vulnérabilité logicielle mais d’un problème de plateforme (les données sensibles sont exposées via des API OData configurées pour permettre un accès anonyme aux données de liste et aux URL), laquelle nécessite des modifications du code du produit.

Averti par la plateforme de cybersécurité le 24 juin, Microsoft a publié un outil pour vérifier les portails Power Apps afin que les autorisations de table soient appliquées par défaut. Pour diagnostiquer les problèmes de configuration, Portal Checker peut être utilisé pour détecter les listes qui autorisent l’accès anonyme. Par ailleurs, les portails Power Apps nouvellement créés bénéficieront d’autorisations de table activées par défaut, ce qui devrait désormais réduire considérablement le risque de mauvaise configuration.