Des millions d’enregistrements de données stockés par Microsoft sont exposés par erreur

Quelque 38 millions d’enregistrements stockés sur un service Microsoft, y compris des informations privées, ont été par erreur laissés exposés cette année, a déclaré lundi la société de sécurité UpGuard.

Les données, y compris les noms, adresses, informations financières et statuts de vaccination Covid-19, ont été rendues vulnérables – mais pas compromises – avant que le problème ne soit résolu, selon l’enquête de la société de sécurité numérique.

Parmi les 47 organisations concernées figuraient American Airlines, Ford, JB Hunt et des agences publiques telles que le ministère de la Santé du Maryland et le système de transport en commun de la ville de New York.

Ils ont tous utilisé un produit Microsoft appelé Power Apps, qui permet de créer des sites Web et des applications mobiles pour interagir avec le public.

Le paramètre de configuration logicielle par défaut du service signifiait que les données des organisations concernées étaient laissées sans protection jusqu’en juin 2021, selon UpGuard.

« À la suite de ce projet de recherche, Microsoft a depuis apporté des modifications aux portails Power Apps », indique le rapport.

Microsoft a déclaré avoir informé les clients lorsque des risques de sécurité potentiels étaient découverts afin qu’ils puissent résoudre les problèmes eux-mêmes.

« Nous prenons la sécurité et la confidentialité au sérieux, et nous encourageons nos clients à utiliser les meilleures pratiques lors de la configuration des produits de manière à répondre au mieux à leurs besoins en matière de confidentialité », a déclaré un porte-parole.

Mais UpGuard a déclaré qu’il aurait été préférable de changer la façon dont le logiciel fonctionne à la source, et en fonction de la façon dont les clients l’utilisent, plutôt que « d’étiqueter la perte systémique de confidentialité des données comme une mauvaise configuration de l’utilisateur final, permettant au problème de persister ».

© 2021 AFP