Technologie
Microsoft Power Apps: fuite de données confidentielles suite à une mauvaise configuration
29/08/2021 - 20:01
SNRTnewsLa fuite de données a été découverte par des chercheurs en sécurité d'UpGuard Research et divulguée au public plus tôt cette semaine. L'équipe de recherche d’UpGuard a averti 47 organisations, y compris des entités gouvernementales de santé publique, que leurs données étaient accessibles au public.
Le problème provient de Microsoft Power Apps, un outil de simplification "low code" pour la conception d'applications et de sites Web avec peu de programmation. Lorsqu'une application est créée qui fait appel à une certaine fonctionnalité utilisée pour extraire des informations, les paramètres par défaut rendent toutes les informations stockées accessibles à tous. Les paramètres doivent être configurés manuellement pour limiter les autorisations.
La fuite au niveau des bases de données de vaccination COVID-19 illustre le problème avec ce mélange d'informations. Certaines applications souhaitent permettre au grand public d'extraire librement certains types de données, telles que les heures de rendez-vous et les sites de localisation des vaccinations. Mais les mêmes bases de données contenaient également des informations privées telles que des noms, des adresses e-mail et le statut de vaccination.
"Des paramètres de confidentialité solides"
Un représentant de Microsoft a déclaré à des médias américains que seul un petit sous-ensemble de clients avait configuré le portail comme décrit dans le rapport et que la société travaillait en étroite collaboration avec ces clients pour s'assurer qu'ils utilisaient les paramètres de confidentialité correspondant à leurs besoins.
Le représentant a ainsi souligné que le principal concepteur de portail, Design Studio, utilise des paramètres de confidentialité solides par défaut et que l'organisation est en train de garantir que les outils de conception alternatifs utilisent par défaut des paramètres solides similaires.
"Nos produits offrent aux clients des fonctionnalités de flexibilité et de confidentialité pour concevoir des solutions évolutives qui répondent à une grande variété de besoins. Nous prenons la sécurité et la confidentialité au sérieux, et nous encourageons nos clients à utiliser les meilleures pratiques lors de la configuration des produits de manière à répondre au mieux à leurs besoins en matière de confidentialité", a ajouté la même source.
Articles en relations
Technologie
Technologie
Technologie