微软PowerApps门户网站默认资料设置,恐使3800万用户资料公开于网上

安全厂商UpGuard发现,微软PowerApps门户网站(portal)平台的默认资料组态问题,导致超过3800万用户接种疫苗或个人信息公开于网络上,受害者包括福特、美国航空及数个州政府。

PowerApps是微软力推的低程序代码开发、流程设计等生产力工具。PowerApps门户网站可让内部用户输入及存储信息,且开放外部用户利用不同的身份识别登录、创建、查询或浏览资料,或是网站上App交互。

但经常披露云计算平台漏洞的UpGuard发现它某个默认的访问权限设置,可能导致美国纽约市、印第安那及马里兰州等政府及数家大型企业存储的用户资料,包括COVID-19疫苗接种或社会安全码、电子邮件个人信息暴露于开放网络上。

UpGuard解释,Power Apps的原理是,Power Apps内部资料表单(list)中截取Microsoft Dataverse表格中的资料,再通过API将资料暴露或显示于Power Apps门户网站上。问题出在PowerApps用来汲取资料的API之一:OData API。开发人员以此API启动从OData Fee表单(list)捞出资料的OData feed同时,一定要记得在功能菜单中启动“设置表格许可(Table Permission)”,以确保不会有匿名访问,或是非授权用户访问资料。但这表格访问权限设置在Power Apps表单中是默认关闭的;也就是说,只要用户忘了变更设置,使用OData API的单位等于资料公开暴露于开放网络上。

研究人员发现了数千个门户网站暴露出可匿名访问的表单。其中几个较重大的例子是美国3个州、市政府的门户网站,曝光的资料包括COVID-19案例及疫苗接种、求职者社会安全码及其他可识其他人身份的信息(PII)。其他用户还包括德州登顿郡(Denton County)、美国航空、J.B. Hunt运输服务公司、福特及微软。总计曝险的资料涉及3800多万用户。

UpGuard除了通知几个重大案例的用户外,也在今年6月底联系微软,后者接获通知后变更了PowerApps门户网站的资料组态默认。

发表评论