Microsoft Power Apps 暴露了 3800 万用户的数据

13936393306132e

Microsoft 的 Power Apps门户服务旨在简化 Web 或移动应用程序的开发。不幸的是,由于默认安全设置的问题,3800 万用户数据在不应该公开的情况下公开可用。

Microsoft Power Apps 发生了什么?

从本质上讲,微软功耗应用平台默认为使数据公开访问,而不是保持数据预设为私人,由如发现Upguard和报告有线。不幸的是,这意味着任何希望使用这些API快速启动和运行 Web 应用程序的人都需要手动启用安全性,而不是相反。

“UpGuard 研究团队现在可以披露配置为允许公共访问的 Microsoft Power Apps 门户导致的多个数据泄漏 – 一种新的数据暴露向量,”Upguard 在一篇博客文章中说

Microsoft Power Apps 被广泛的公司和政府机构使用。由于它可以快速轻松地启动网站或应用程序,因此它经常用于COVID-19 工具,例如联系人跟踪、疫苗注册表等。该平台在存储工作申请门户和员工数据库方面也很受欢迎。

这些工具可能包含敏感的用户数据,而且其中很多没有开启安全措施。这意味着电话号码、家庭住址、社会安全号码和 Covid-19 疫苗接种状态等数据会暴露给碰巧正在寻找它们的任何人。

受此影响的组织的几个例子是美国航空公司、福特、JB Hunt、马里兰州卫生部、纽约市交通局和纽约市公立学校。

有修复吗?

幸运的是,微软已经解决了这种情况。该公司现在已经做到了,因此默认设置不允许公开 API 数据和其他信息。相反,开发人员将需要手动启用此设置,这可能是从第一天起就应该如此。

总会有开发人员想要公开的数据,因此他们必须通过额外的步骤使选定数据可用,而不是通过额外的努力使其隐藏。对于使用这些网络应用程序的人来说,这绝对是一种更好的方式,因为它让他们放心,他们的私人数据是保密的。但是,在这种情况下造成了损害。我们需要等待后果来看看它有多糟糕。

未经允许不得转载:表盘吧 » Microsoft Power Apps 暴露了 3800 万用户的数据