‘Verkeerd geconfigureerde Power Apps-applicaties lekken miljoenen bestanden’

Abonneer je gratis op Techzine!

Volgens securitybedrijf UpGuard hebben applicaties op basis van low-codeplatform Microsoft Power Apps te maken met een datalek van 38 miljoen bestanden. Oorzaak was het vergeten aan te zetten van een belangrijke security-setting.

Verkeerde configuratie-instellingen kunnen tot datalekken en andere securityrisico’s leiden. Dit blijkt ook bij verkeerd geconfigureerde applicaties op basis van het low-codeplatform van Microsoft.

Uit onderzoek van securityspecialist UpGuard, een startup dat software ontwikkelt voor het vinden van kwetsbaarheden in IT-infrastructuur, is gebleken dat verkeerd geconfigureerde applicaties op basis van Power Apps tot een datalek van maar liefst 38 miljoen bestanden heeft geleid. In totaal ging het hierbij om duizend verschillende applicaties van meerdere bedrijven, waaronder grote multinationals als Ford, American Airlines en ook Microsoft zelf.

Het datalek in de met Power Apps vervaardigde applicaties zorgde ervoor dat zonder wachtwoord toegang tot de data in de betreffende applicaties kon worden verkregen. Hierdoor werd onder meer persoonlijke data beschikbaar, waaronder Social Security-nummers en persoonlijke informatie voor Covid-19-tracing.

Security-setting

De misconfiguratie betrof dat ontwikkelaars vergeten waren een belangrijke security-setting in Power Apps aan te zetten. Hierdoor werd het mogelijk toegang tot de opgeslagen informatie, die in spreadsheets in de beveiligde dienst Dataverse worden opgeslagen, te krijgen zonder een wachtwoord in te voeren. Toegang was eenvoudig mogelijk via een API. De privacy-setting in Power Apps moest juist deze toegang beveiligen en ervoor zorgen dat niemand toegang tot de informatie had.

Microsoft voorkomt ongewilde toegang

UpGuard heeft inmiddels Microsoft op de hoogte gesteld van de fout die gebruikers kunnen maken. De techgigant heeft nu voor Power Apps een oplossing uitgebracht. De Power Apps-settings zijn nu zo dat standaard alle applicatiedata ontoegankelijk is.

Daarnaast heeft Microsoft een tool uitgebracht, PortalChecker, waarmee bestaande Power Apps-applicaties kunnen worden gecheckt of zij configuraties hebben die toegang tot de applicatiedata mogelijk maken.