Hoe de informatie die bedrijven verzamelen in verkeerde handen? Soms verkopen insiders de informatie en soms zorgt een gerichte hack voor het lek, maar meestal komt persoonlijk identificeerbare informatie naar buiten via verkeerd geconfigureerde diensten of programma’s. En bovenop de enorme hoeveelheden van het bewijs daarvan, hebben onderzoekers van UpGuard ontdekt dat de persoonlijk identificeerbare informatie van 38 miljoen mensen is blootgesteld. De bron van het lek is een aantal slecht geconfigureerde webapplicaties die zijn gemaakt met het Microsoft Power Apps-platform. Gelukkig lijkt het erop dat de boosdoeners geen toegang hebben gekregen tot de informatie.
Misconfiguratie van Power Apps
Microsofts Power Apps is een tool die bedrijven helpt apps en webportalen te bouwen zonder dat er zware investeringen voor de ontwikkeling ervan nodig zijn, en maakt gebruik van het low-code-principe (dat wil zeggen dat het niet nodig is om de code daadwerkelijk te schrijven). Gebruikersbeoordelingen zijn dolenthousiast over de mogelijkheid om elk idee werkelijkheid te maken zonder dat daarvoor ervaring in IT en programmeren nodig is.
Die eenvoud is tevens de bron van het probleem. Met Power Apps maakten mensen die niet alleen geen IT-ervaring hadden, maar die ook nog eens geen rekening hielden met informatiebeveiliging, tools die niet veilig waren. Dat is natuurlijk geen verrassing. De onderzoekers vonden 47 bedrijven en overheidsinstellingen die Power Apps hebben gebruikt om tools te creëren die persoonlijke gegevens verzamelden, maar die gegevens niet veilig bewaarden.
Om een lange en technische uitleg kort te houden: met Power Apps kunnen gebruikers tools creëren voor het delen én verzamelen van gegevens. In beide gevallen worden deze gegevens opgeslagen in tabellen, en de maker van de app kan de toegangsrechten tot deze tabellen inschakelen. Deze toegangsrechten zijn standaard uitgeschakeld. Aan de ene kant kunnen makers het delen eenvoudig inschakelen. Aan de andere kant zorgt dit ervoor dat de tabellen hierdoor in feite publiekelijk beschikbaar worden. Daarom bleef de verzamelde informatie dus ook beschikbaar voor partijen buiten de bedrijven zelf.
Hoe u de gegevens van uw bedrijf en klanten tegen lekken beschermt
Nadat de onderzoekers het lek meldden, veranderde Microsoft de standaardinstellingen van het platform. Wanneer iemand nu een nieuw project opzet dat persoonlijke gegevens verzamelt, wordt alle verzamelde informatie zo opgeslagen dat buitenstaanders er geen toegang toe kunnen krijgen. Apps en webdiensten die vóór de update van Microsoft zijn gemaakt, kunnen echter nog steeds kwetsbaar zijn. Als uw bedrijf Microsoft Power Apps gebruikt, moet u alle configuratie-opties grondig controleren om dit soort lekken te voorkomen, vooral als uw toepassingen persoonlijk identificeerbare informatie verzamelen en opslaan.
Het probleem is echter een stuk breder. Power Apps is lang niet het enige low-code-platform dat mensen zonder IT-kennis gebruiken om diensten, applicaties en websites te maken. Deze hulpmiddelen, die bedrijven in veel gevallen alleen voor interne taken gebruiken, kunnen volledig onopgemerkt blijven door beveiligingsafdelingen. Ondertussen kunnen ze kwetsbaarheden in de broncode bevatten, fouten die optreden bij de integratie met andere bedrijfsprocessen, of, zoals in dit geval, misconfiguraties.
Daarom raden we bedrijven die gebruik maken van low-code-platforms het volgende aan:
- Controleer zorgvuldig de beveiligings- en privacyinstellingen van zowel gepubliceerde als nog niet gepubliceerde apps;
- Geef voorlichting aan informatiebeveiligingsafdelingen over het gebruik van dergelijke platforms in bedrijfsprocessen;
- Zet externe experts in (en anders interne specialisten) voor de beoordeling van uw beveiliging.