Microsoft Power的默认设置导致3800万份记录数据对外部暴露

　　据外媒报道，许多公司都在使用微软的 Power App 平台，由于默认安全设置较弱，所以这意味着 3800 万份记录的敏感数据向公众公开了好几个月。Upguard 进行的调查显示，Power App 用户中有相当多的人没有保护自己的数据库。

　　进一步的调查显示，这个问题是由薄弱的默认安全设置造成的，如果用户不采取手动操作数据就会暴露在外面。

　　根据 Wired 的一份报告，美国航空公司、福特公司、纽约市公立学校和多个州的 COVID-19 接触者追踪数据库等来源的数据都被暴露。Upguard 最初的发现是在 2021 年 5 月，但微软的修复程序直到 8 月才全面推出。

　　UpGuard 负责网络研究的副总裁 Greg Pollock 表示：“我们发现其中一个被错误配置为暴露数据，我们从没听说过这种情况，我们想，这是一次性问题，还是一个系统性问题？由于 Power Apps 门户产品的工作方式，所以很容易快速进行调查。我们发现有很多这样的东西暴露在外。这是疯狂的。”

　　Upguard 开始调查大量的 Power App 门户网站，这些网站本应是私有的–甚至是微软开发的应用也存在配置错误的情况。然而，尽管这些数据是向公众开放的，但据知没有任何数据被泄露。

　　问题的核心在于默认的安全设置。比如在设置 Power App 和连接 API 时，平台默认使相应的数据可以公开访问。

　　由于 8 月份的更新，Power Apps 将默认设置安全设置以保护数据隐私。虽然 Upguard 努力跟公开敏感数据的平台进行沟通，但安全问题的规模太大、无法涵盖每一家企业。

　　“安全的默认设置非常重要，”开放加密审计项目(Open Crypto Audit Project)主任 Kenn White 指出：“当一个模式出现在使用特定技术构建的面向网络的系统中而该系统仍配置错误时就会出现非常严重的问题。如果来自不同行业和技术背景的开发者继续在一个平台上犯同样的错误，那么这个平台的创造者就应该受到关注。”

　　据悉，暴露的数据包括几个 COVID-19 接触者追踪平台、疫苗接种注册、工作申请门户和员工数据库。从社会安全号码到姓名和地址的所有信息都留在了开放的数据库中。

　　Upguard 再次表示，目前还没有任何数据被泄露。

　　Microsoft Power 应用的安全设置问题跟该领域的许多其他平台的问题相呼应。像亚马逊和 Google 这样的公司经常也面临默认设置不佳而导致数据泄露的问题。