微软Power Apps因错误配置导致3800万条私人数据泄露

来自依赖微软 Power Apps 门户平台的 47 个不同实体的超过 3800 万条记录无意中暴露在网上，使“新的数据暴露向量”成为人们关注的焦点。

“门户网站之间变化的数据类型，包括用于COVID-19接触者追踪个人信息，COVID-19接种预约，为求职者，员工ID社会安全号码，以及数以百万计的姓名和电子邮件地址，” UpGuard研究小组说，在周一公开的一项披露。

据说印第安纳州、马里兰州和纽约市等政府机构以及美国航空公司、福特、JB Hunt 和微软等私营公司都受到了影响。公开的最敏感信息包括微软自己的全球薪资服务使用的 332,000 个电子邮件地址和员工 ID，以及与业务工具支持和混合现实门户相关的 85,000 多条记录。

Power Apps是一个 Microsoft 驱动的开发平台，用于使用预构建的模板构建跨移动和 Web 工作的低代码自定义业务应用程序，此外还提供 API 以允许其他应用程序访问数据，包括检索和存储信息的选项。该公司将该服务描述为“一套应用程序、服务和连接器，以及一个数据平台，它提供了一个快速开发环境来构建满足您业务需求的自定义应用程序”。

但是，门户共享和存储数据方式的错误配置可能导致敏感数据可公开访问的情况，从而导致潜在的数据泄漏。

“Power Apps 门户内置了用于共享数据的选项，但它们也内置了固有敏感的数据类型，”研究人员说。“在 COVID-19 疫苗接种注册页面等情况下，有些数据类型应该是公开的，比如疫苗接种地点的位置和可用的预约时间，以及应该是私密的敏感数据，比如被接种者的个人身份信息.”

UpGuard 表示，它在 2021 年 6 月 24 日将数据泄露通知了微软，只是为了让该公司最初结案，理由是该行为是“设计使然”，但随后采取行动提醒其政府云客户注意该问题。安全公司于 7 月 15 日提交的滥用报告。

此外，微软还发布了一个名为Portal Checker的工具来诊断由错误配置原因引起的任何潜在风险，并进行了更新，以便“新创建的门户将对所有表单和列表强制执行表权限，而不管启用表权限设置如何。”

研究人员指出：“虽然我们理解（并同意）微软的立场，即这里的问题严格来说不是软件漏洞，但它是一个平台问题，需要对产品进行代码更改，因此应该与漏洞处于同一工作流中。” .

“根据观察到的用户行为更改产品是更好的解决方案，而不是将系统性数据机密性丢失标记为最终用户配置错误，从而使问题持续存在并使最终用户面临数据泄露的网络安全风险。”