低代码开发 PowerApps 一个“错误”配置暴露 3800 万条私人数据记录,甚至还有工资条,微软回应:是设计问题
发表于:2024-12-22 作者:创始人
编辑最后更新 2024年12月22日,IT之家 8 月 24 日消息 外媒 MSPoweruser 报道,微软 PowerApps 是一种低代码解决方案,微软称它可以让团队利用预制模板、拖放的简易性和快速部署立即构建和启动应用程序,现在
IT之家 8 月 24 日消息 外媒 MSPoweruser 报道,微软 PowerApps 是一种低代码解决方案,微软称它可以让团队利用预制模板、拖放的简易性和快速部署立即构建和启动应用程序,现在 PowerApps 的一个错误配置向互联网暴露了多达 3800 万条记录,包括社会安全号码和疫苗状况等项目。
这个漏洞是由安全公司 UpGuard 发现的,他们发现该软件平台的默认配置保持了表格的安全,但没有保持列表的安全。
该平台已经被 47 家企业使用,包括政府机构,甚至微软的工资数据也被暴露。
涉及的企业包括美国印第安纳州卫生部的接触追踪数据库、马里兰州卫生部冠状病毒测试预约、纽约市教育局的工作人员和学生名册以及纽约大都会交通局接种 COVID-19 疫苗的员工名单。
IT之家获悉,微软被告知了这个问题,但"确定这种行为被认为是出于设计造成的,"让 UpGuard 直接通知受影响的公司。
这些公司最终关闭了这些漏洞,而且微软似乎也通知了他们的政府客户。微软还发布了一个工具,可以检测列表是否允许匿名访问,并更新了 PowerApps,这样新的门户将默认有所有数据格式的安全。
微软在一份声明中表示,
2022-05-06 12:00:10"我们认真对待安全和隐私问题,我们鼓励客户在以最符合他们隐私需求的方式配置产品时使用最佳做法。"