image

Data 1 miljoen NHS-medewerkers gelekt via verkeerd ingestelde Power Pages

maandag 25 november 2024, 11:39 door Redactie, 2 reacties

De gegevens van meer dan één miljoen medewerkers van de Britse National Health Service (NHS) waren via verkeerd ingestelde Microsoft Power Pages voor iedereen op internet toegankelijk. Het ging om naam, adresgegevens, telefoonnummer en e-mailadres. Dat meldt beveiligingsonderzoeker Aaron Costello van AppOmni op basis van eigen onderzoek.

Microsoft Power Pages is een SaaS (Software-as-a-service) platform waarmee gebruikers en organisaties eenvoudig websites kunnen maken en hosten. Het maakt gebruik van een role based access control (RBAC) model om het toegangsniveau van gebruikers te beheren. Daarbij wordt er gewerkt met anonieme en geauthenticeerde gebruikers. Costello ontdekte dat verschillende organisaties de permissies van anonieme gebruikers verkeerd hadden ingesteld, waardoor die toegang hadden tot data die alleen voor geauthenticeerde gebruikers had moeten zijn. Daarnaast bleek ook dat alle data in een tabel onbedoeld als toegankelijk was aangemerkt. Hierdoor was onbeperkte leestoegang tot gegevens mogelijk.

Microsoft waarschuwt bij het aanpassen van de configuratie wanneer data van de betreffende website voor iedereen zichtbaar is, en wanneer dit niet de bedoeling is, de instellingen voor anonieme gebruikers moet worden aangepast. In het geval van de gegevens van NHS-medewerkers ging het om een grote, niet nader genoemde, zakelijke serviceprovider die de gegevens voor de Britse gezondheidszorg verwerkte en de eerder genoemde configuratiefouten had gemaakt. Na te zijn ingelicht werden de instellingen aangepast.

Reacties (2)
25-11-2024, 12:11 door dingetje
Met zulke gegevens zijn het inderdaad Power Pages.
25-11-2024, 14:25 door Anoniem
In de cloud horen geen gegevens in te staan die niet op internet moeten kunnen.. PUNT...
Bijna alle cloud providers hebben als default voor hun containers 'open for any'... of 'anonymous full control'..
Je hoeft maar 1 keer niet op te letten of je acties niet overzien (wat in een cloud snel kan gebeuren) en de rapen zijn gaar..
DAarom die zooi hoort niet op internet
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.