Meer dan duizend web-apps hebben ten onrechte 38 miljoen records op het open internet blootgelegd, waaronder gegevens van een aantal COVID-19-platforms voor het traceren van contacten, aanmeldingen voor vaccinaties, sollicitatieportals en werknemersdatabases. De gegevens bevatten een reeks gevoelige informatie, van telefoonnummers en thuisadressen van mensen tot burgerservicenummers en de vaccinatiestatus tegen COVID-19.

Het incident trof grote bedrijven en organisaties, waaronder American Airlines, Ford, het transport- en logistiekbedrijf JB Hunt, het Maryland Department of Health, de New York City Municipal Transportation Authority en openbare scholen in New York City. En hoewel de gegevensblootstellingen sindsdien zijn aangepakt, laten ze zien hoe een slechte configuratie-instelling in een populair platform verstrekkende gevolgen kan hebben.

De blootgestelde gegevens werden allemaal opgeslagen in de Power Apps-portalservice van Microsoft, een ontwikkelplatform waarmee u eenvoudig web- of mobiele apps voor extern gebruik kunt maken. Als u tijdens bijvoorbeeld een pandemie snel een aanmeldingssite voor vaccinafspraken moet opstarten, kunnen Power Apps-portals zowel de openbare site als de backend voor gegevensbeheer genereren.

Begin mei begonnen onderzoekers van het beveiligingsbedrijf UpGuard een groot aantal Power Apps-portals te onderzoeken die gegevens openbaar hadden gemaakt die privé hadden moeten zijn, ook in sommige Power Apps die Microsoft voor eigen doeleinden heeft gemaakt. Het is bekend dat geen van de gegevens is aangetast, maar de bevinding is nog steeds significant, omdat het een onoplettendheid in het ontwerp van Power Apps-portals aan het licht brengt die sindsdien is verholpen.

Naast het beheren van interne databases en het bieden van een basis om apps te ontwikkelen, biedt het Power Apps-platform ook kant-en-klare applicatie-programmeerinterfaces om met die gegevens te communiceren. Maar de UpGuard-onderzoekers realiseerden zich dat het platform bij het inschakelen van deze API’s standaard de bijbehorende gegevens openbaar toegankelijk maakte. Het inschakelen van privacy-instellingen was een handmatig proces. Als gevolg hiervan hebben veel klanten hun apps verkeerd geconfigureerd door de onveilige standaard te verlaten.

“We hebben een van deze gevonden die verkeerd was geconfigureerd om gegevens bloot te leggen en we dachten: we hebben hier nog nooit van gehoord, is dit een eenmalig iets of is dit een systemisch probleem?” zegt Greg Pollock, UpGuard’s vice-president cyberonderzoek. “Vanwege de manier waarop het product Power Apps-portals werkt, is het heel eenvoudig om snel een enquête in te vullen. En we ontdekten dat er tonnen van deze zijn blootgesteld. Het was wild.”

De soorten informatie die de onderzoekers tegenkwamen, waren breed. De blootstelling aan JB Hunt was gegevens van sollicitanten met burgerservicenummers. En Microsoft heeft zelf een aantal databases in zijn eigen Power Apps-portals beschikbaar gesteld, waaronder een oud platform met de naam ‘Global Payroll Services’, twee ‘Business Tools Support’-portals en een ‘Customer Insights’-portal.

De informatie was in veel opzichten beperkt. Het feit dat de staat Indiana bijvoorbeeld een blootstelling aan de Power Apps-portal had, betekent niet dat alle gegevens die de staat bezit, openbaar waren. Er was slechts een subset van contacttraceringsgegevens die in de Power Apps-portal van de staat werden gebruikt, bij betrokken.

Verkeerde configuratie van cloudgebaseerde databases is in de loop der jaren een serieus probleem geweest, waardoor enorme hoeveelheden gegevens zijn blootgesteld aan ongepaste toegang of diefstal. Grote cloudbedrijven zoals Amazon Web Services, Google Cloud Platform en Microsoft Azure hebben allemaal vanaf het begin stappen ondernomen om de gegevens van klanten standaard privé op te slaan en mogelijke verkeerde configuraties te signaleren, maar de industrie gaf pas vrij recent prioriteit aan het probleem.

Na jaren van het bestuderen van misconfiguraties van de cloud en blootstelling aan gegevens, waren de UpGuard-onderzoekers verrast om deze problemen te ontdekken op een platform dat ze nog nooit eerder hadden gezien. UpGuard heeft geprobeerd de blootstellingen in kaart te brengen en zoveel mogelijk getroffen organisaties op de hoogte te stellen. De onderzoekers konden echter niet bij elke entiteit komen, omdat het er te veel waren, dus maakten ze de bevindingen ook bekend aan Microsoft. Begin augustus kondigde Microsoft aan dat Power Apps-portals nu standaard API-gegevens en andere informatie privé opslaan. Het bedrijf heeft ook een tool uitgebracht die klanten kunnen gebruiken om hun portalinstellingen te controleren. Microsoft heeft niet gereageerd op een verzoek van WIRED om commentaar.

Hoewel de individuele organisaties die in de situatie verstrikt waren geraakt, het probleem in theorie zelf hadden kunnen vinden, benadrukt UpGuard’s Pollock dat het de plicht is van cloudproviders om veilige en private standaardinstellingen aan te bieden. Anders is het onvermijdelijk dat veel gebruikers onbedoeld gegevens vrijgeven.

Het is een les die de hele industrie langzaam, soms pijnlijk, heeft moeten leren.

“Beveiligde standaardinstellingen zijn belangrijk”, zegt Kenn White, directeur van het Open Crypto Audit Project. “Als er een patroon naar voren komt in webgebaseerde systemen die zijn gebouwd met een bepaalde technologie en die nog steeds verkeerd worden geconfigureerd, is er iets heel erg mis. Als ontwikkelaars uit verschillende industrieën en technische achtergronden dezelfde misstappen blijven maken op een platform, zou de schijnwerper volledig gericht moeten zijn op de bouwer van dat platform.”

Tussen de fixes van Microsoft en de eigen meldingen van UpGuard zegt Pollock dat de overgrote meerderheid van de blootgestelde portals, en alle meest gevoelige, nu privé zijn.

Naast andere dingen waar we aan hebben gewerkt, is het algemeen bekend dat cloud-buckets verkeerd kunnen worden geconfigureerd, dus het is niet aan ons om ze allemaal te helpen beveiligen”, zegt hij. “Maar niemand had deze ooit eerder opgeruimd, dus we vonden dat we de ethische plicht hadden om in ieder geval de meest gevoelige te beveiligen voordat we over de systemische problemen konden praten.”

Dit verhaal verscheen oorspronkelijk op wired.com.

By Admin

Leave a Reply

Your email address will not be published. Required fields are marked *