8 月 24 日消息 外媒 MSPoweruser 報道,微軟 PowerApps 是一種低代碼解決方案,微軟稱它可以讓團隊利用預制模板、拖放的簡易性和快速部署立即構建和啟動應用程序,現在 PowerApps 的一個錯誤配置向互聯網暴露了多達 3800 萬條記錄,包括社會安全號碼和疫苗狀況等項目。
這個漏洞是由安全公司 UpGuard 發現的,他們發現該軟件平臺的默認配置保持了表格的安全,但沒有保持列表的安全。
該平臺已經被 47 家企業使用,包括政府機構,甚至微軟的工資數據也被暴露。
涉及的企業包括美國印第安納州衛生部的接觸追蹤數據庫、馬里蘭州衛生部冠狀病毒測試預約、紐約市教育局的工作人員和學生名冊以及紐約大都會交通局接種 COVID-19 疫苗的員工名單。
IT之家獲悉,微軟被告知了這個問題,但“確定這種行為被認為是出于設計造成的,”讓 UpGuard 直接通知受影響的公司。
這些公司最終關閉了這些漏洞,而且微軟似乎也通知了他們的政府客戶。微軟還發布了一個工具,可以檢測列表是否允許匿名訪問,并更新了 PowerApps,這樣新的門戶將默認有所有數據格式的安全。
微軟在一份聲明中表示,
“我們認真對待安全和隱私問題,我們鼓勵客戶在以最符合他們隱私需求的方式配置產品時使用最佳做法。”
