3800 万微软电源应用程序用户数据公开披露的原因

微软再次陷入服务安全的麻烦。这一次，来自微软PowerApp平台的大约3800万数据被公开了几个月。这是基于电源应用程序具有弱默认安全设置。

网络安全公司 UpGuard 的一项研究显示，正如 Windows Central 8 月 24 日星期二引用的，许多 Power App 用户无法保护他们的数据库。

进一步调查发现，数据泄露是由于一个组织使用微软电源应用程序。该平台可用于创建网站和管理数据，但如果配置不当，则可能导致安全风险。

Power Apps 可用于管理组织想要发布的数据，例如疫苗接种中心的位置，以及必须保密的数据，如社会保险号码。Power 应用的默认设置使数据在微软的最新更改之前可以公开访问

数据来自美国航空公司、福特公司、纽约公立学校和几个州 COVID-19 联系跟踪器数据库。

"我们发现其中一个被错误配置来暴露数据，我们认为，我们从未听说过这一点，这是一次性问题还是系统性问题？由于 Power Apps 门户产品的运作方式，因此可以轻松快速进行调查。我们发现有很多暴露。这是野生的，"上卫网络研究副总裁格雷格波洛克说。

UpGuard 在 2021 年 5 月开始调查大量本应是私有电源应用门户，甚至微软创建的应用程序也配置错误。然而，虽然它向公众开放，但已知没有数据被盗。

问题的症结在于默认的安全设置。例如，在设置 Power 应用并连接 API 时，默认情况下，该平台会公开访问相关数据。由于 8 月份的更新，Power Apps 将使用默认设置来确保数据保持安全。

暴露的数据包括几个COVID-19联系人跟踪平台、疫苗接种登记、求职申请门户、员工数据库等。

虽然我们理解（并同意）Microsoft 的立场，即此处的问题不完全是软件漏洞，但这是一个需要更改产品代码的平台问题，因此必须与漏洞处于相同的工作流程中。

与将数据机密性的系统性损失标记为最终用户配置错误相比，这是一种更好的解决方案来更改产品，从而使问题持续存在，并使最终用户面临数据泄露带来的网络安全风险。