几月前,有相关研究人员发现,微软PowerApps入口网站(portal)平台的默认数据组态问题,导致超过3800万用户接种疫苗或个资公开于网络上,受害者包括福特、美国航空及数个州政府。
PowerApps是微软力推的低程序代码开发、流程设计等生产力工具。PowerApps 入口网站可让内部用户输入及储存信息,且开放外部用户利用不同的身分识别登入、建立、查询或浏览数据,或是网站上App互动。
但被经常揭露云端平台漏洞的研究人员发现它某个预设的访问权限设定,可能导致美国纽约市、印第安纳及马里兰州等政府及数家大型企业储存的用户数据,包括COVID-19疫苗接种或社会安全码、电子邮件个资曝露于开放网络上。
Power Apps的原理是,Power Apps 内部数据表单(list)中撷取Microsoft Dataverse表格中的数据,再透过API将数据曝露或显示于Power Apps入口网站上。问题出在PowerApps用来汲取资料的API之一:OData API。开发人员以此API启动从OData Fee窗体(list)捞出数据的OData feed同时,一定要记得在功能选单中启动「设定表格许可(Table Permission)」,以确保不会有匿名存取,或是非授权用户存取数据。但这表格访问权限设定在Power Apps窗体中是默认关闭的;也就是说,只要用户忘了变更设定,使用OData API的单位等于数据公开曝露于开放网络上。
研究人员发现了数千个入口网站曝露出可匿名存取的窗体 。其中几个较重大的例子是美国3个州、市政府的入口网站,曝光的数据报括COVID-19案例及疫苗接种、求职者社会安全码及其他可识别个人身份的信息(PII)。其他用户还包括德州登顿郡(Denton County)、美国航空、J.B. Hunt运输服务公司、福特及微软。总计曝险的数据涉及3800多万用户。
今年6月底微软接获通知后,变更了PowerApps入口网站的数据组态默认。
Myasiacloud亞洲雲海
網路安全防禦廠商
亞太高防資源 無上限防禦DDoS/CC攻擊!!
全球優質節點 中國大陸全境加速 海外加速
詳情訪問 https://www.myasiacloud.com/clouddf
商務聯絡TG:@myasiacloud66
评论
发表评论