信息來(lái)源：Cnbeta

據(jù)外媒報(bào)道，許多公司都在使用微軟的Power App平臺(tái)，由于默認(rèn)安全設(shè)置較弱，所以這意味著3800萬(wàn)份記錄的敏感數(shù)據(jù)向公眾公開(kāi)了好幾個(gè)月。Upguard進(jìn)行的調(diào)查顯示，Power App用戶中有相當(dāng)多的人沒(méi)有保護(hù)自己的數(shù)據(jù)庫(kù)。

進(jìn)一步的調(diào)查顯示，這個(gè)問(wèn)題是由薄弱的默認(rèn)安全設(shè)置造成的，如果用戶不采取手動(dòng)操作數(shù)據(jù)就會(huì)暴露在外面。

根據(jù)Wired的一份報(bào)告，美國(guó)航空公司、福特公司、紐約市公立學(xué)校和多個(gè)州的COVID-19接觸者追蹤數(shù)據(jù)庫(kù)等來(lái)源的數(shù)據(jù)都被暴露。Upguard最初的發(fā)現(xiàn)是在2021年5月，但微軟的修復(fù)程序直到8月才全面推出。

UpGuard負(fù)責(zé)網(wǎng)絡(luò)研究的副總裁Greg Pollock表示：“我們發(fā)現(xiàn)其中一個(gè)被錯(cuò)誤配置為暴露數(shù)據(jù)，我們從沒(méi)聽(tīng)說(shuō)過(guò)這種情況，我們想，這是一次性問(wèn)題，還是一個(gè)系統(tǒng)性問(wèn)題？由于Power Apps門戶產(chǎn)品的工作方式，所以很容易快速進(jìn)行調(diào)查。我們發(fā)現(xiàn)有很多這樣的東西暴露在外。這是瘋狂的?！?

Upguard開(kāi)始調(diào)查大量的Power App門戶網(wǎng)站，這些網(wǎng)站本應(yīng)是私有的--甚至是微軟開(kāi)發(fā)的應(yīng)用也存在配置錯(cuò)誤的情況。然而，盡管這些數(shù)據(jù)是向公眾開(kāi)放的，但據(jù)知沒(méi)有任何數(shù)據(jù)被泄露。

問(wèn)題的核心在于默認(rèn)的安全設(shè)置。比如在設(shè)置Power App和連接API時(shí)，平臺(tái)默認(rèn)使相應(yīng)的數(shù)據(jù)可以公開(kāi)訪問(wèn)。

由于8月份的更新，Power Apps將默認(rèn)設(shè)置安全設(shè)置以保護(hù)數(shù)據(jù)隱私。雖然Upguard努力跟公開(kāi)敏感數(shù)據(jù)的平臺(tái)進(jìn)行溝通，但安全問(wèn)題的規(guī)模太大、無(wú)法涵蓋每一家企業(yè)。

“安全的默認(rèn)設(shè)置非常重要，”開(kāi)放加密審計(jì)項(xiàng)目(Open Crypto Audit Project)主任Kenn White指出：“當(dāng)一個(gè)模式出現(xiàn)在使用特定技術(shù)構(gòu)建的面向網(wǎng)絡(luò)的系統(tǒng)中而該系統(tǒng)仍配置錯(cuò)誤時(shí)就會(huì)出現(xiàn)非常嚴(yán)重的問(wèn)題。如果來(lái)自不同行業(yè)和技術(shù)背景的開(kāi)發(fā)者繼續(xù)在一個(gè)平臺(tái)上犯同樣的錯(cuò)誤，那么這個(gè)平臺(tái)的創(chuàng)造者就應(yīng)該受到關(guān)注?！?

據(jù)悉，暴露的數(shù)據(jù)包括幾個(gè)COVID-19接觸者追蹤平臺(tái)、疫苗接種注冊(cè)、工作申請(qǐng)門戶和員工數(shù)據(jù)庫(kù)。從社會(huì)安全號(hào)碼到姓名和地址的所有信息都留在了開(kāi)放的數(shù)據(jù)庫(kù)中。

Upguard再次表示，目前還沒(méi)有任何數(shù)據(jù)被泄露。

Microsoft Power應(yīng)用的安全設(shè)置問(wèn)題跟該領(lǐng)域的許多其他平臺(tái)的問(wèn)題相呼應(yīng)。像亞馬遜和Google這樣的公司經(jīng)常也面臨默認(rèn)設(shè)置不佳而導(dǎo)致數(shù)據(jù)泄露的問(wèn)題。