3800 万条个人数据记录因配置错误惨遭泄露

2024-10-31

据外媒报道，近期有专家表示，使用微软 Power Apps 门户平台的 1000 多个 Web 应用程序中的大约 3800 万条记录可以在线访问。来自新冠病毒接触者追踪操作、疫苗注册和员工数据库的数据，包括家庭住址、电话号码、社会安全号码和疫苗接种状态，据信已包含在记录中。

主要公司和组织受到事件的影响，包括美国航空公司、福特、JB Hunt、马里兰州卫生部、纽约市交通局和纽约市公立学校。虽然数据泄露已经得到修复，但它们证明了在广泛使用的平台中一个不正确的配置设置如何产生深远的影响。

客户可以使用 Power Apps 服务轻松创建自己的 Web 和移动应用程序。它为开发人员提供应用程序编程接口 (API) 以用于他们收集的数据。但是，Upguard 发现，默认情况下，访问这些 API 会使通过 Power Apps 门户接收的数据公开，因此需要手动重新配置以保持信息的私密性。

今年 5 月，安全公司 Upguard 的研究人员开始调查这个问题。他们发现来自多个 Power Apps 门户的数据本来是保密的，任何知道去哪里查看的人都可以访问这些数据。据 Upguard 称，6 月 24 日，它向 Microsoft 安全资源中心提供了一份漏洞报告，其中包括指向公开敏感数据的 Power Apps 门户帐户的链接以及发现允许匿名数据访问的 API 的方法。

研究人员在报告中写道：“然而，暴露敏感信息的账户数量表明，该功能的风险——其错误配置的可能性和影响——尚未得到充分重视。” “多个政府机构报告称对其应用程序进行了安全审查，但没有发现这个问题，大概是因为它以前从未被充分宣传为数据安全问题。”

周一，微软的一名代表为该产品的安全性进行了辩护，并指出该公司直接与受影响的用户合作，以确保他们的数据保持私密性，并且如果他们的数据公开可用，则会通知消费者。微软发言人在一份声明中表示：“我们的产品为客户提供灵活性和隐私功能，以设计满足各种需求的可扩展解决方案。”

编辑推荐

安企神软件系统信息安全管理系统–-一款保护企业知识产权的文件安全保密系统！防拷贝复制、防外发泄密！全程无感运行、隐形加密系统，实现对文件进行全程自动加密和保护。

企业核心技术文件只允许在企业内部环境中使用，未经许可，一旦脱离使用环境，将无法打开或显示为乱码。从数据源头打造网络安全屏障！杜绝数据泄密事件的发生！

TAG：

上一篇 : 黑客暗网出售7000万AT&T用户的个人数据

下一篇 : 下月起《数据安全法》正式实施提升企业数据安全

文章标签

文档加密软件

文档信息安全管理软件

上网行为管理软件

应用程序管控软件

敏感文件管理软件

U盘设备管控软件

文件分发软件

IT资产管理软件

电脑操作记录软件

远程控制软件

聊天管控软件

敏感信息报警

屏幕管控

内网管理

深度行为分析

电脑屏幕录像

实时管控

补丁管理

网络准入控制管理系统