近 4000 万条记录通过糟糕的 Power App 设置泄露

安全研究人员发现，大约有 3800 万条数据记录在网上暴露。数据泄漏是由配置不当的 Microsoft Power Apps 实例引起的。泄露的数据包括 Covid 疫苗接种信息、电子邮件和社会安全号码。

《连线》报道称，大公司存储的数据已在网上曝光。由于配置问题而泄露记录的实体名称包括纽约市公立学校、印第安纳州卫生部门以及美国航空公司和汽车制造商福特。

该漏洞是由与安全公司 Upguard 合作的研究人员发现的，该公司于几个月前开始调查。最终的结果是，泄露的数据虽然被认为是安全的，但互联网上的任何人都可以公开访问。

该问题是由 Power App API 在使用默认设置时公开使用 API 收集的数据这一事实引起的。如果相应应用程序门户的所有者想要正确保护这些信息，他们将需要重新配置用于使数据安全和私密的 API 和应用程序。

参与调查的研究人员将此问题通知了微软，并发送了指向泄露数据的特定 Power App 门户的链接。有点令人困惑的是，在与微软进行了简短的交流后，研究人员被告知问题已经解决，因为这种行为被认为是“设计使然”。

Upguard 研究人员随后继续联系受默认配置问题影响的个别公司和实体。几天之内，绝大多数泄漏的 Power Apps 实例都得到了妥善保护，问题确实得到了解决。

微软确实发表了声明，现在任何使用 Power Apps 门户的人都将保护他们收集的数据并默认设置为私有。此外，该软件公司还发布了一种特殊工具，旨在帮助客户轻松检查 Power Apps 数据的隐私。

到目前为止，没有任何信息或证据表明泄露的数据已被恶意行为者抓取或以其他方式滥用。

该事件并未导致任何接近数据灾难的情况，但它仍然表明，即使是简单的疏忽和信任您并不完全熟悉的工具中的默认设置，也可能导致潜在风险和数据安全问题。