近 4000 萬條記錄通過糟糕的 Power App 設置洩露

安全研究人員發現，大約有 3800 萬條數據記錄在網上暴露。數據洩漏是由配置不當的 Microsoft Power Apps 實例引起的。洩露的數據包括 Covid 疫苗接種信息、電子郵件和社會安全號碼。

《連線》報導稱，大公司存儲的數據已在網上曝光。由於配置問題而洩露記錄的實體名稱包括紐約市公立學校、印第安納州衛生部門以及美國航空公司和汽車製造商福特。

該漏洞是由與安全公司 Upguard 合作的研究人員發現的，該公司於幾個月前開始調查。最終的結果是，洩露的數據雖然被認為是安全的，但互聯網上的任何人都可以公開訪問。

該問題是由 Power App API 在使用默認設置時公開使用 API 收集的數據這一事實引起的。如果相應應用程序門戶的所有者想要正確保護這些信息，他們將需要重新配置用於使數據安全和私密的 API 和應用程序。

參與調查的研究人員將此問題通知了微軟，並發送了指向洩露數據的特定 Power App 門戶的鏈接。有點令人困惑的是，在與微軟進行了簡短的交流後，研究人員被告知問題已經解決，因為這種行為被認為是“設計使然”。

Upguard 研究人員隨後繼續聯繫受默認配置問題影響的個別公司和實體。幾天之內，絕大多數洩漏的 Power Apps 實例都得到了妥善保護，問題確實得到了解決。

微軟確實發表了聲明，現在任何使用 Power Apps 門戶的人都將保護他們收集的數據並默認設置為私有。此外，該軟件公司還發布了一種特殊工具，旨在幫助客戶輕鬆檢查 Power Apps 數據的隱私。

到目前為止，沒有任何信息或證據表明洩露的數據已被惡意行為者抓取或以其他方式濫用。

該事件並未導致任何接近數據災難的情況，但它仍然表明，即使是簡單的疏忽和信任您並不完全熟悉的工具中的默認設置，也可能導致潛在風險和數據安全問題。