En 400-6655-581
5
返回列表
> 資源中心 > 文章>主題>網(wǎng)安動態(tài)> Microsoft Power的默認(rèn)設(shè)置導(dǎo)致3800萬份記錄數(shù)據(jù)對外部暴露

Microsoft Power的默認(rèn)設(shè)置導(dǎo)致3800萬份記錄數(shù)據(jù)對外部暴露

文章

2021-08-25瀏覽次數(shù):252

根據(jù)Wired的一份報告,美國航空公司、福特公司、紐約市公立學(xué)校和多個州的COVID-19接觸者追蹤數(shù)據(jù)庫等來源的數(shù)據(jù)都被暴露。Upguard最初的發(fā)現(xiàn)是在2021年5月,但微軟的修復(fù)程序直到8月才全面推出。

UpGuard負(fù)責(zé)網(wǎng)絡(luò)研究的副總裁Greg Pollock表示:“我們發(fā)現(xiàn)其中一個被錯誤配置為暴露數(shù)據(jù),我們從沒聽說過這種情況,我們想,這是一次性問題,還是一個系統(tǒng)性問題?由于Power Apps門戶產(chǎn)品的工作方式,所以很容易快速進(jìn)行調(diào)查。我們發(fā)現(xiàn)有很多這樣的東西暴露在外。這是瘋狂的。”

Upguard開始調(diào)查大量的Power App門戶網(wǎng)站,這些網(wǎng)站本應(yīng)是私有的--甚至是微軟開發(fā)的應(yīng)用也存在配置錯誤的情況。然而,盡管這些數(shù)據(jù)是向公眾開放的,但據(jù)知沒有任何數(shù)據(jù)被泄露。

問題的核心在于默認(rèn)的安全設(shè)置。比如在設(shè)置Power App和連接API時,平臺默認(rèn)使相應(yīng)的數(shù)據(jù)可以公開訪問。

由于8月份的更新,Power Apps將默認(rèn)設(shè)置安全設(shè)置以保護(hù)數(shù)據(jù)隱私。雖然Upguard努力跟公開敏感數(shù)據(jù)的平臺進(jìn)行溝通,但安全問題的規(guī)模太大、無法涵蓋每一家企業(yè)。

“安全的默認(rèn)設(shè)置非常重要,”開放加密審計項目(Open Crypto Audit Project)主任Kenn White指出:“當(dāng)一個模式出現(xiàn)在使用特定技術(shù)構(gòu)建的面向網(wǎng)絡(luò)的系統(tǒng)中而該系統(tǒng)仍配置錯誤時就會出現(xiàn)非常嚴(yán)重的問題。如果來自不同行業(yè)和技術(shù)背景的開發(fā)者繼續(xù)在一個平臺上犯同樣的錯誤,那么這個平臺的創(chuàng)造者就應(yīng)該受到關(guān)注。”

據(jù)悉,暴露的數(shù)據(jù)包括幾個COVID-19接觸者追蹤平臺、疫苗接種注冊、工作申請門戶和員工數(shù)據(jù)庫。從社會安全號碼到姓名和地址的所有信息都留在了開放的數(shù)據(jù)庫中。

Upguard再次表示,目前還沒有任何數(shù)據(jù)被泄露。

Microsoft Power應(yīng)用的安全設(shè)置問題跟該領(lǐng)域的許多其他平臺的問題相呼應(yīng)。像亞馬遜和Google這樣的公司經(jīng)常也面臨默認(rèn)設(shè)置不佳而導(dǎo)致數(shù)據(jù)泄露的問題。

文章轉(zhuǎn)載自cnBeta.COM