Microsoft Power的預設設置導致3800萬份記錄數據對外部暴露
據外媒報導,許多公司都在使用微軟的Power App平臺,由於預設安全設置較弱,所以這意味著3800萬份記錄的敏感數據向公眾公開了好幾個月。 Upguard進行的調查顯示,Power App使用者中有相當多的人沒有保護自己的資料庫。
進一步的調查顯示,這個問題是由薄弱的預設安全設置造成的,如果使用者不採取手動操作數據就會暴露在外面。
根據Wired的一份報告,美國航空公司、福特公司、紐約市公立學校和多個州的COVID-19接觸者追蹤資料庫等來源的數據都被暴露。 Upguard最初的發現是在2021年5月,但微軟的修復程式直到8月才全面推出。
UpGuard負責網路研究的副總裁Greg Pollock表示:「我們發現其中一個被錯誤配置為暴露數據,我們從沒聽說過這種情況,我們想,這是一次性問題,還是一個系統性問題? 由於Power Apps門戶產品的工作方式,所以很容易快速進行調查。 我們發現有很多這樣的東西暴露在外。 這是瘋狂的。 ”
Upguard開始調查大量的Power App入口網站,這些網站本應是私有的–甚至是微軟開發的應用也存在配置錯誤的情況。 然而,儘管這些數據是向公眾開放的,但據知沒有任何數據被洩露。
問題的核心在於預設的安全設置。 比如在設置Power App和連接API時,平台預設使相應的數據可以公開訪問。
由於8月份的更新,Power Apps將預設設置安全設置以保護數據隱私。 雖然Upguard努力跟公開敏感數據的平台進行溝通,但安全問題的規模太大、無法涵蓋每一家企業。
“安全的默認設置非常重要,”開放加密審計專案(Open Crypto Audit Project)主任Kenn White指出:”當一個模式出現在使用特定技術構建的面向網络的系統中而該系統仍配置錯誤時就會出現非常嚴重的問題。 如果來自不同行業和技術背景的開發者繼續在一個平臺上犯同樣的錯誤,那麼這個平臺的創造者就應該受到關注。 ”
據悉,暴露的數據包括幾個COVID-19接觸者追蹤平臺、疫苗接種註冊、工作申請門戶和員工資料庫。 從社會安全號碼到姓名和位址的所有資訊都留在了開放的資料庫中。
Upguard再次表示,目前還沒有任何數據被洩露。
Microsoft Power應用的安全設置問題跟該領域的許多其他平台的問題相呼應。 像亞馬遜和Google這樣的公司經常也面臨預設設置不佳而導致數據泄露的問題。