PowerApps 是微软推出的低代码解决方案平台 , 企业可使用模板进行简单的拖放即可快速构建和部署应用程序。
但该平台的错误配置向互联网公开高达 3800 万条用户数据,数据包括社会安全号码以及用户是否已接种疫苗等。
安全公司表示该平台的默认配置使用表格数据而非列表数据来增强安全性,甚至微软公司的部分员工薪酬被泄露。
目前使用此平台的主要是美国各地政府、医疗机构、教育机构以及企业,出现这种规模的数据泄露显然不够安全。
微软认为这是有人故意配置的:
虽说这是微软旗下的平台但操作方面主要由各家机构自己负责,微软检查后认为这是有人故意使用不安全的配置。
这种不安全的配置允许匿名用户直接访问平台从而检索所有数据,也就是只要获得地址可直接访问无需账号密码。
微软已经通过服务端更新封堵相关安全弱点并通知政企客户,同时发布工具可以帮助政企客户检测并更新数据等。
另外微软还建议安全公司直接将问题通报给受影响的政企客户,微软认为这并不是自己的问题所以不应该找自己。
该公司在声明里表示微软非常重视安全和隐私,鼓励客户在满足最佳隐私需求的情况下使用其平台配置产品服务。
与各类配置安全缺陷类似:
此前亚马逊云计算也出现大规模的数据泄露,但这也不是亚马逊问题而是客户在配置云服务时没有遵守安全准则。
例如亚马逊存储桶是用来存放各类文件包括私密文件的,基于安全考虑这些存储桶应该设置为私有访问而非公开。
但不少用户配置时直接使用默认的公开访问导致存储桶大规模泄露,此后各云平台都汲取教训修改默认访问权限。
微软这回出现的数据泄露情况基本类似,按理说客户应该配置私有问题,但不知道什么原因数据都被配置为公开。
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/103689.html