À la suite de la faille des Power Apps de Microsoft, les données de 38 millions d’utilisateurs ont été exposées en ligne. En effet, ces données concernent les numéros de téléphone, de sécurité sociale ou encore des adresses personnelles ainsi que des informations liées aux vaccins pour la COVID-19.
Parmi les entreprises les plus touchées par cette faille, nous pouvons citer la New York City Municipal Transportation Authority, American Airlines, Ford, le Maryland Department of Health et les écoles publiques de la ville de New York.
À l’heure actuelle, nous ne savons pas comment cette faille a pu se produire et surtout, qui en est le responsable. De plus, la faille a été découverte par UpGuard, une société spécialisée en cybersécurité, en mai dernier. Cependant, ces découvertes n’ont été rendues publiques que lundi dernier et selon UpGuard, aucune des informations personnelles exposées n’a été utilisée frauduleusement.
Par ailleurs, Wired rapporte que les données exposées étaient stockées sur le service Power Apps de Microsoft, celui-ci est une plateforme de développement qui permet de créer facilement des applications mobiles ou des sites internet. De cette manière, il est possible de générer des backend de gestion de données ainsi que des sites destinés au public sans aucune tracas.
Le vice-président de la recherche d’UpGuard, Greg Pollock, a déclaré qu’il est simple d’enquêter sur Power Apps et que c’est de cette manière que la société a pu découvrir la faille du côté de Microsoft.
Le plus alarmant dans cette faille, c’est que cela met en évidence la façon dont une interface présentant une légère déficience peut conduire à la vulnérabilité de 38 millions d’utilisateurs. Selon UpGuard, la position de Microsoft à la suite de cette faille est de reproche aux utilisateurs de ne pas avoir configuré les différentes autorisations de leurs applications mais là encore, nous pourrions reprocher à Microsoft de rejeter toute la responsabilité alors que l’objectif de Power Apps est d’aider les personnes qui ont peu d’expérience en codage.
Enfin, Microsoft a annoncé que les portails Power Apps stockeraient toutes les données de l’API et toutes les autres informations en privé afin d’éviter de nouveaux problèmes. Désormais, les portails exposés sont privés.
Pour suivre tous les derniers événements en matière de cybersécurité, restez à l’écoute d’Ivacy VPN !
