Microsoft Power的默认设置导致3800万份记录数据对外部暴露

进一步的调查显示，这个问题是由薄弱的默认安全设置造成的，如果用户不采取手动操作数据就会暴露在外面。

根据Wired的一份报告，美国航空公司、福特公司、纽约市公立学校和多个州的COVID-19接触者追踪数据库等来源的数据都被暴露。Upguard最初的发现是在2021年5月，但微软的修复程序直到8月才全面推出。

UpGuard负责网络研究的副总裁Greg Pollock表示：“我们发现其中一个被错误配置为暴露数据，我们从没听说过这种情况，我们想，这是一次性问题，还是一个系统性问题？由于Power Apps门户产品的工作方式，所以很容易快速进行调查。我们发现有很多这样的东西暴露在外。这是疯狂的。”

Upguard开始调查大量的Power App门户网站，这些网站本应是私有的--甚至是微软开发的应用也存在配置错误的情况。然而，尽管这些数据是向公众开放的，但据知没有任何数据被泄露。

问题的核心在于默认的安全设置。比如在设置Power App和连接API时，平台默认使相应的数据可以公开访问。

由于8月份的更新，Power Apps将默认设置安全设置以保护数据隐私。虽然Upguard努力跟公开敏感数据的平台进行沟通，但安全问题的规模太大、无法涵盖每一家企业。

“安全的默认设置非常重要，”开放加密审计项目(Open Crypto Audit Project)主任Kenn White指出：“当一个模式出现在使用特定技术构建的面向网络的系统中而该系统仍配置错误时就会出现非常严重的问题。如果来自不同行业和技术背景的开发者继续在一个平台上犯同样的错误，那么这个平台的创造者就应该受到关注。”

据悉，暴露的数据包括几个COVID-19接触者追踪平台、疫苗接种注册、工作申请门户和员工数据库。从社会安全号码到姓名和地址的所有信息都留在了开放的数据库中。

Upguard再次表示，目前还没有任何数据被泄露。

Microsoft Power应用的安全设置问题跟该领域的许多其他平台的问题相呼应。像亚马逊和Google这样的公司经常也面临默认设置不佳而导致数据泄露的问题。