微软Microsoft工具中的默认设置在线公开了3800万条用户记录

导读 微软的应用程序构建工具中的默认权限设置被指责为在线暴露 3800 万人的数据。包括姓名、电子邮件地址、电话号码、社会安全号码和 疫苗

微软的应用程序构建工具中的默认权限设置被指责为在线暴露 3800 万人的数据。包括姓名、电子邮件地址、电话号码、社会安全号码和 疫苗接种预约在内的信息被 47 家不同的公司和政府实体使用 Microsoft 的 Power Apps 平台无意中公开访问。但是,没有证据表明数据被利用,而潜在的问题现在已由 Microsoft 解决。

该问题最初是由安全研究团队 UpGuard 在 5 月份发现的。在UpGuard最近的一篇博文和Wired 的报告中,该公司解释了使用 Power Apps 的组织如何创建具有不当数据权限的应用程序。

“我们发现其中一个 [应用程序] 配置错误以暴露数据,我们想,我们从未听说过这个,这是一次性的事情还是系统性问题?” UpGuard 网络研究副总裁 Greg Pollock 告诉《连线》杂志。“由于 Power Apps 门户产品的工作方式,快速进行调查非常容易。我们发现有大量的这些暴露。它是野生的。”

Power Apps 允许公司在没有正式编码经验的情况下构建简单的应用程序和网站。涉及违规行为的组织——包括福特、航空公司、JB Hunt 以及马里兰州、纽约市和印第安纳州的州机构——正在使用该网站收集用于各种目的的数据,包括组织疫苗接种工作。Power Apps 提供了用于快速整理这些项目所需的数据类型的工具,但默认情况下,此信息可公开访问。这是 UpGuard 发现的曝光。

这种特定“漏洞”的机制很有趣,因为它模糊了软件漏洞与用户界面设计中的糟糕选择之间的界限。UpGuard 表示,微软的立场是,这不是漏洞,因为用户没有正确配置应用程序的权限。但是,可以说,如果您正在开发一款旨在供几乎没有编码经验的人使用的应用程序,那么默认情况下使事情尽可能安全似乎是明智之举。正如报道有线,微软已经改变了默认权限设置负责曝光。

免责声明:本文由用户上传,如有侵权请联系删除!