38 miljoen patiëntendossiers gaan online na een grote datalek
Een groot beveiligingslek in de OpenAI Power Apps-portals van Microsoft heeft honderden apps getroffen, waardoor tot nu toe ongeveer 38 miljoen records zijn blootgelegd. Deze laatste variëren van Covid-19-vaccinatiecertificaten tot persoonlijke gegevens, waaronder arbeidsstatus, telefoon- en adresnummers, burgerservicenummers, enz. De slachtoffers werken in kleine en grote bedrijven in meerdere industrieën en openbare instellingen zoals scholen en ziekenhuizen.
Inhoudsopgave
Een probleem dat al maanden sluimert?
Beveiligingsproblemen met betrekking tot het Power Apps-platform lijken sinds mei 2021 in beweging te zijn. In plaats van gebruikersgegevens privé te houden, houdt een groot deel van de apps die beschikbaar zijn op de Power Apps-portal van Microsoft deze algemeen beschikbaar voor geïnteresseerde derden. De reden waarom een dergelijke kwetsbaarheid is ontstaan, heeft te maken met de Application Programming Interfaces (API's) die worden aangeboden door het Power Apps-platform om softwareontwikkelaars te helpen zelf mobiele en webapplicaties te bouwen. In theorie zouden de API's ontwikkelaars in staat moeten stellen de gegevens te verzamelen die ze nodig hebben zonder deze ergens anders te delen. Hoewel ze wel records verzamelden, hielden die API's ze niet privé. Bovendien hebben ze ze standaard openbaar gemaakt omdat het erop lijkt dat ze in de eerste plaats zo waren geconfigureerd. Daarom moesten ontwikkelaars handmatig tweaken om te voorkomen dat de Power Apps-API's van Microsoft gegevens vrijgeven die ze anders geheim zouden houden.
Hoe zit het met de patch?
Aanvankelijk aarzelden de beveiligingsspecialisten van Microsoft om het probleem aan te pakken, maar sindsdien hebben ze hun klanten aangespoord "best practices te gebruiken bij het configureren van producten op manieren die het beste voldoen aan hun privacybehoeften." Bovendien moeten alle beschikbare API's op het Power Apps-platform gegevens standaard privé houden zonder waarvoor extra handelingen van de klant nodig waren.Microsoft ging tot nog meer buitengewone inspanningen door een unieke diagnosetool voor Portal Checker te lanceren om klanten te helpen bij het identificeren van hun aangepaste API-instellingen.
Uitsplitsing van blootgestelde gegevens
De blootgestelde records variëren in termen van onderwerp. Sommigen van hen hadden betrekking op werknemers van American Airlines, terwijl anderen verwezen naar scholen in New York City. Ook ongeveer 0,3 miljoen e-mailadressen en 40 duizend Mixed Reality-dossiers kunnen mogelijk in verkeerde handen zijn gevallen.