数十家机构的微软Power应用程序暴露了3800万条记录

来自47个依赖微软的Power Apps Portal平台的不同实体的3800多万条记录被无意中暴露在网上，引发了“新的数据暴露载体”的关注

在2019冠状病毒疾病2019冠状病毒疾病研究组在星期一公布的一份公开声明中说：“门户网站之间的数据类型不同，包括COVID-19接触追踪的个人信息、COVID-19疫苗接种预约、求职者的社会安全号码、雇员ID、以及数百万的姓名和电子邮件地址。”

印第安纳州、马里兰州和纽约市等政府机构，以及美国航空公司、福特、J.B.亨特和微软等私营公司据说受到了影响。在公开的最敏感信息中，有332000个电子邮件地址和微软自己的全球薪资服务使用的员工ID，以及85000多条与业务工具支持和混合现实门户相关的记录。

Power Apps是一个由Microsoft支持的开发平台，用于构建低代码的定制业务应用程序，这些应用程序使用预构建的模板在移动设备和web上运行，此外还提供API以允许其他应用程序访问数据，包括检索和存储信息的选项。该公司将该服务描述为“一套应用程序、服务和连接器，以及一个数据平台，它提供了一个快速开发环境，可以根据您的业务需求构建定制应用程序。”

但是，如果门户共享和存储数据的方式配置不当，可能会导致敏感数据被公开访问，从而导致潜在的数据泄漏。

研究人员说：“Power Apps门户网站内置了共享数据的选项，但它们也内置了天生敏感的数据类型。”。2019冠状病毒疾病登记簿中，有一些数据类型应该是公开的，比如疫苗接种地点和有效预约时间，以及敏感数据，这些数据应该是私人的，比如被接种疫苗的人的个人信息。

UpGueor表示，它在2021年6月24日通知了微软的数据泄露，只为该公司最初关闭的情况下，引用的行为是“按设计”，但随后采取行动，以提醒其政府云客户的问题后，在7月15日提交的一份滥用报告的安全公司。

此外，微软还发布了一个名为“门户检查器”的工具，用于诊断因配置错误而导致的任何潜在风险，并进行了更新，以便“无论启用表权限设置如何，新创建的门户都将对所有表单和列表强制执行表权限。”

研究人员指出：“虽然我们理解（并同意）微软的立场，即这里的问题并非严格意义上的软件漏洞，但这是一个平台问题，需要对产品进行代码更改，因此应该与漏洞放在同一个工作流程中。”。

“根据观察到的用户行为改变产品是一个更好的解决方案，而不是将系统性数据保密性损失称为最终用户配置错误，从而使问题持续存在，并使最终用户面临数据泄露的网络安全风险。”