Microsoft Power Apps 暴露了 3800 万用户的数据-表盘吧

Microsoft 的 Power Apps门户服务旨在简化 Web 或移动应用程序的开发。不幸的是，由于默认安全设置的问题，3800 万用户的数据在不应该公开的情况下公开可用。

Microsoft Power Apps 发生了什么？

从本质上讲，微软功耗应用平台默认为使数据公开访问，而不是保持数据预设为私人，由如发现Upguard和报告有线。不幸的是，这意味着任何希望使用这些API快速启动和运行 Web 应用程序的人都需要手动启用安全性，而不是相反。

“UpGuard 研究团队现在可以披露配置为允许公共访问的 Microsoft Power Apps 门户导致的多个数据泄漏 – 一种新的数据暴露向量，”Upguard 在一篇博客文章中说。

Microsoft Power Apps 被广泛的公司和政府机构使用。由于它可以快速轻松地启动网站或应用程序，因此它经常用于COVID-19 工具，例如联系人跟踪、疫苗注册表等。该平台在存储工作申请门户和员工数据库方面也很受欢迎。

这些工具可能包含敏感的用户数据，而且其中很多没有开启安全措施。这意味着电话号码、家庭住址、社会安全号码和 Covid-19 疫苗接种状态等数据会暴露给碰巧正在寻找它们的任何人。

受此影响的组织的几个例子是美国航空公司、福特、JB Hunt、马里兰州卫生部、纽约市交通局和纽约市公立学校。

幸运的是，微软已经解决了这种情况。该公司现在已经做到了，因此默认设置不允许公开 API 数据和其他信息。相反，开发人员将需要手动启用此设置，这可能是从第一天起就应该如此。

总会有开发人员想要公开的数据，因此他们必须通过额外的步骤使选定数据可用，而不是通过额外的努力使其隐藏。对于使用这些网络应用程序的人来说，这绝对是一种更好的方式，因为它让他们放心，他们的私人数据是保密的。但是，在这种情况下造成了损害。我们需要等待后果来看看它有多糟糕。