Microsoft : 38 millions de données personnelles des utilisateurs exposées via une fuite
D’après des chercheurs en sécurité informatique, plus de 38 millions de données personnelles provenant d’un millier d’applications Web ont été exposées en raison d’un défaut de configuration dans le logiciel PowerApps de Microsoft.
À l’image de cette faille qui permet de prendre le contrôle d’un PC via une simple souris USB, il arrive parfois qu’une fuite massive de données survienne en raison d’un problème mineur. C’est justement ce qu’ont découvert les chercheurs en sécurité informatique de la société UpGuard. En effet, la compagnie a publié un compte-rendu ce lundi 23 août 2021 prouvant que plus de 38 millions de données personnelles issues d’un millier d’applications ont été exposés.
La raison ? Un défaut de configuration dans le logiciel PowerApps de Microsoft. Pour rappel, cet outil permet aux clients de créer facilement leurs propres applications Web et mobiles grâce à des API clés en main. Seulement, UpGuard a constaté que la configuration par défaut de PowerApps ne garantissait pas la confidentialité des données récoltées sur les sites/applis propulsés par PowerApps.
Selon ces experts, plus de 47 compagnies ont été concernées par cette fuite. On y retrouve de grands groupes comme American Airlines, Ford, J.B Hunt ou encore des collectivités territoriales comme l’autorité de la Santé du Maryland et de l’Indiana, ou encore les transports publics de la ville de New-York. Certaines données exposées sont également issues de plateformes conçues pour le traçage des cas contacts de Covid-19.
38 MILLIONS DE DONNÉES EXPOSÉES À CAUSE D’UNE MAUVAISE CONFIGURATION
De fait, ces 38 millions de données personnelles contenaient des informations sanitaires, comme les statuts vaccinaux des utilisateurs, mais aussi des adresses personnelles, des numéros de téléphone, de sécurité sociale ou d’identification fiscale. Après avoir été alertée par UpGuard, Microsoft a modifié la configuration par défaut des API de PowerApps, afin que les données collectées soient rendues privées. Par ailleurs, l’entreprise américaine a déployé un outil permettant aux développeurs de vérifier leurs paramètres de confidentialité.
“Nos outils permettent de concevoir des solutions à l’échelle, qui répondent à une grande variété de besoins. Nous prenons la sécurité et la confidentialité au sérieux, et encourageons nos clients à configurer les produits de façon à satisfaire au mieux leurs besoins en matière de confidentialité”, a déclaré la firme de Redmond. Comme dit plus haut, cet incident souligne à quel point une mauvaise configuration, même si elle semble mineure, peut entraîner de graves violations de données.
Source : Les Échos
