3800 万微软电源应用程序用户数据公开披露的原因

微软再次陷入服务安全的麻烦。这一次,来自微软PowerApp平台的大约3800万数据被公开了几个月。这是基于电源应用程序具有弱默认安全设置。

网络安全公司 UpGuard 的一项研究显示,正如 Windows Central 8 月 24 日星期二引用的,许多 Power App 用户无法保护他们的数据库。

进一步调查发现,数据泄露是由于一个组织使用微软电源应用程序。该平台可用于创建网站和管理数据,但如果配置不当,则可能导致安全风险。

Power Apps 可用于管理组织想要发布的数据,例如疫苗接种中心的位置,以及必须保密的数据,如社会保险号码。Power 应用的默认设置使数据在微软的最新更改之前可以公开访问

数据来自美国航空公司、福特公司、纽约公立学校和几个州 COVID-19 联系跟踪器数据库。

"我们发现其中一个被错误配置来暴露数据,我们认为,我们从未听说过这一点,这是一次性问题还是系统性问题?由于 Power Apps 门户产品的运作方式,因此可以轻松快速进行调查。我们发现有很多暴露。这是野生的,"上卫网络研究副总裁格雷格波洛克说。

UpGuard 在 2021 年 5 月开始调查大量本应是私有电源应用门户,甚至微软创建的应用程序也配置错误。然而,虽然它向公众开放,但已知没有数据被盗。

问题的症结在于默认的安全设置。例如,在设置 Power 应用并连接 API 时,默认情况下,该平台会公开访问相关数据。由于 8 月份的更新,Power Apps 将使用默认设置来确保数据保持安全。

暴露的数据包括几个COVID-19联系人跟踪平台、疫苗接种登记、求职申请门户、员工数据库等。

虽然我们理解(并同意)Microsoft 的立场,即此处的问题不完全是软件漏洞,但这是一个需要更改产品代码的平台问题,因此必须与漏洞处于相同的工作流程中。

与将数据机密性的系统性损失标记为最终用户配置错误相比,这是一种更好的解决方案来更改产品,从而使问题持续存在,并使最终用户面临数据泄露带来的网络安全风险。