3800 万条个人数据记录因配置错误惨遭泄露

2024-10-31

据外媒报道，近期有专家表示，使用微软 Power Apps 门户平台的 1000 多个 Web 应用程序中的大约 3800 万条记录可以在线访问。来自新冠病毒接触者追踪操作、疫苗注册和员工数据库的数据，包括家庭住址、电话号码、社会安全号码和疫苗接种状态，据信已包含在记录中。

主要公司和组织受到事件的影响，包括美国航空公司、福特、JB Hunt、马里兰州卫生部、纽约市交通局和纽约市公立学校。虽然数据泄露已经得到修复，但它们证明了在广泛使用的平台中一个不正确的配置设置如何产生深远的影响。

客户可以使用 Power Apps 服务轻松创建自己的 Web 和移动应用程序。它为开发人员提供应用程序编程接口 (API) 以用于他们收集的数据。但是，Upguard 发现，默认情况下，访问这些 API 会使通过 Power Apps 门户接收的数据公开，因此需要手动重新配置以保持信息的私密性。

今年 5 月，安全公司 Upguard 的研究人员开始调查这个问题。他们发现来自多个 Power Apps 门户的数据本来是保密的，任何知道去哪里查看的人都可以访问这些数据。据 Upguard 称，6 月 24 日，它向 Microsoft 安全资源中心提供了一份漏洞报告，其中包括指向公开敏感数据的 Power Apps 门户帐户的链接以及发现允许匿名数据访问的 API 的方法。

研究人员在报告中写道：“然而，暴露敏感信息的账户数量表明，该功能的风险——其错误配置的可能性和影响——尚未得到充分重视。” “多个政府机构报告称对其应用程序进行了安全审查，但没有发现这个问题，大概是因为它以前从未被充分宣传为数据安全问题。”

周一，微软的一名代表为该产品的安全性进行了辩护，并指出该公司直接与受影响的用户合作，以确保他们的数据保持私密性，并且如果他们的数据公开可用，则会通知消费者。微软发言人在一份声明中表示：“我们的产品为客户提供灵活性和隐私功能，以设计满足各种需求的可扩展解决方案。”