微软再次陷入服务安全的麻烦。这一次,来自微软PowerApp平台的大约3800万数据被公开了几个月。这是基于电源应用程序具有弱默认安全设置。
网络安全公司 UpGuard 的一项研究显示,正如 Windows Central 8 月 24 日星期二引用的,许多 Power App 用户无法保护他们的数据库。
进一步调查发现,数据泄露是由于一个组织使用微软电源应用程序。该平台可用于创建网站和管理数据,但如果配置不当,则可能导致安全风险。
Power Apps 可用于管理组织想要发布的数据,例如疫苗接种中心的位置,以及必须保密的数据,如社会保险号码。Power 应用的默认设置使数据在微软的最新更改之前可以公开访问
数据来自美国航空公司、福特公司、纽约公立学校和几个州 COVID-19 联系跟踪器数据库。
"我们发现其中一个被错误配置来暴露数据,我们认为,我们从未听说过这一点,这是一次性问题还是系统性问题?由于 Power Apps 门户产品的运作方式,因此可以轻松快速进行调查。我们发现有很多暴露。这是野生的,"上卫网络研究副总裁格雷格波洛克说。
UpGuard 在 2021 年 5 月开始调查大量本应是私有电源应用门户,甚至微软创建的应用程序也配置错误。然而,虽然它向公众开放,但已知没有数据被盗。
问题的症结在于默认的安全设置。例如,在设置 Power 应用并连接 API 时,默认情况下,该平台会公开访问相关数据。由于 8 月份的更新,Power Apps 将使用默认设置来确保数据保持安全。
暴露的数据包括几个COVID-19联系人跟踪平台、疫苗接种登记、求职申请门户、员工数据库等。
虽然我们理解(并同意)Microsoft 的立场,即此处的问题不完全是软件漏洞,但这是一个需要更改产品代码的平台问题,因此必须与漏洞处于相同的工作流程中。
与将数据机密性的系统性损失标记为最终用户配置错误相比,这是一种更好的解决方案来更改产品,从而使问题持续存在,并使最终用户面临数据泄露带来的网络安全风险。
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)