《電子技術應用》
您所在的位置:首頁 > 通信與網絡 > 業(yè)界動態(tài) > Microsoft Power的默認設置導致3800萬份記錄數(shù)據(jù)對外部暴露

Microsoft Power的默認設置導致3800萬份記錄數(shù)據(jù)對外部暴露

2021-08-28
來源:安全圈

  關鍵詞 數(shù)據(jù)泄露

  據(jù)外媒報道,許多公司都在使用微軟的Power App平臺,由于默認安全設置較弱,所以這意味著3800萬份記錄的敏感數(shù)據(jù)向公眾公開了好幾個月。Upguard進行的調查顯示,Power App用戶中有相當多的人沒有保護自己的數(shù)據(jù)庫。

  要點解讀

  進一步的調查顯示,這個問題是由薄弱的默認安全設置造成的,如果用戶不采取手動操作數(shù)據(jù)就會暴露在外面。

  根據(jù)Wired的一份報告,美國航空公司、福特公司、紐約市公立學校和多個州的COVID-19接觸者追蹤數(shù)據(jù)庫等來源的數(shù)據(jù)都被暴露。Upguard最初的發(fā)現(xiàn)是在2021年5月,但微軟的修復程序直到8月才全面推出。

  UpGuard負責網絡研究的副總裁Greg Pollock表示:“我們發(fā)現(xiàn)其中一個被錯誤配置為暴露數(shù)據(jù),我們從沒聽說過這種情況,我們想,這是一次性問題,還是一個系統(tǒng)性問題?由于Power Apps門戶產品的工作方式,所以很容易快速進行調查。我們發(fā)現(xiàn)有很多這樣的東西暴露在外。這是瘋狂的?!?/p>

  Upguard開始調查大量的Power App門戶網站,這些網站本應是私有的--甚至是微軟開發(fā)的應用也存在配置錯誤的情況。然而,盡管這些數(shù)據(jù)是向公眾開放的,但據(jù)知沒有任何數(shù)據(jù)被泄露。

  問題的核心在于默認的安全設置。比如在設置Power App和連接API時,平臺默認使相應的數(shù)據(jù)可以公開訪問。

  由于8月份的更新,Power Apps將默認設置安全設置以保護數(shù)據(jù)隱私。雖然Upguard努力跟公開敏感數(shù)據(jù)的平臺進行溝通,但安全問題的規(guī)模太大、無法涵蓋每一家企業(yè)。

  “安全的默認設置非常重要,”開放加密審計項目(Open Crypto Audit Project)主任Kenn White指出:“當一個模式出現(xiàn)在使用特定技術構建的面向網絡的系統(tǒng)中而該系統(tǒng)仍配置錯誤時就會出現(xiàn)非常嚴重的問題。如果來自不同行業(yè)和技術背景的開發(fā)者繼續(xù)在一個平臺上犯同樣的錯誤,那么這個平臺的創(chuàng)造者就應該受到關注?!?/p>

  據(jù)悉,暴露的數(shù)據(jù)包括幾個COVID-19接觸者追蹤平臺、疫苗接種注冊、工作申請門戶和員工數(shù)據(jù)庫。從社會安全號碼到姓名和地址的所有信息都留在了開放的數(shù)據(jù)庫中。

  Upguard再次表示,目前還沒有任何數(shù)據(jù)被泄露。

  Microsoft Power應用的安全設置問題跟該領域的許多其他平臺的問題相呼應。像亞馬遜和Google這樣的公司經常也面臨默認設置不佳而導致數(shù)據(jù)泄露的問題。




電子技術圖片.png

本站內容除特別聲明的原創(chuàng)文章之外,轉載內容只為傳遞更多信息,并不代表本網站贊同其觀點。轉載的所有的文章、圖片、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創(chuàng)文章及圖片等內容無法一一聯(lián)系確認版權者。如涉及作品內容、版權和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。