Microsoft的Power Apps门户服务旨在使web或移动应用程序的开发更容易。不幸的是,由于默认安全设置的问题,3800万用户的数据在本不该公开的情况下被公开。
微软的power应用程序发生了什么?
本质上,正如Upguard发现并由Wired报道的那样,Microsoft Power Apps平台默认将数据公开,而不是默认将数据保密。不幸的是,这意味着任何想要快速启动并使用这些API运行web应用程序的人都需要手动启用安全性,而不是反过来。
UpGuard在一篇博客文章中表示:“UpGuard研究团队现在可以披露由配置为允许公众访问的Microsoft Power Apps门户导致的多个数据泄漏,这是一种新的数据泄露载体。”。
Microsoft Power应用程序被广泛的公司和政府机构使用。由于它可以快速、轻松地启动网站或应用程序,因此它经常被用于新冠肺炎工具,如联系人追踪、疫苗登记表等。该平台还广泛用于存储工作申请门户和员工数据库。
这些工具可能包含敏感的用户数据,其中有相当数量的工具没有启用安全措施。这意味着,电话号码、家庭地址、社会安全号码和新冠肺炎疫苗接种状况等数据会暴露给任何碰巧寻找它们的人。
美国航空公司、福特公司、J.B.亨特公司、马里兰州卫生部、纽约市交通管理局和纽约市公立学校都是受此影响的组织。
有解决办法吗?
幸运的是,微软已经解决了这一问题。该公司现在已经做出了这样的设置,默认设置不允许API数据和其他信息公开。相反,开发人员需要手动启用此设置,这可能是从第一天开始就应该这样做的。
总是会有开发者想要公开的数据,因此他们必须通过额外的步骤使选定的数据可用,而不是通过额外的努力将其隐藏起来。对于使用这些网络应用的人来说,这无疑是一种更好的方式,因为它让他们放心,他们的私人数据是保密的。然而,在这种情况下造成了损害。我们需要等待后果,看看它有多糟糕。