更多

    Microsoft Power App 預設權限大開中門 設定錯誤導致 3,800 萬個人資料外洩

    Mickey Chan
    愛騎單車的宅,眼鏡娘控。 1.膽固醇跟美味是成正比的; 2.所有人都可以騙,但絕對不能騙自己; 3.賣掉的貨才是錢,不賣的收藏品不值一文; 4.踩單車,是為了吃更多美食! 5.正義的話語,不一定出自正義之人的口;

    過去曾發現商業機構錯誤設定 AWS 雲端伺服器而導致用戶資料外洩的 UpGuard 又有新發現。今次被發現因設定錯誤而導致資料外洩的是在 Microsoft 的低代碼雲端應用程式開發套件 Power App , UpGuard 發現有 47 個組織或企業的應用程式因為設定錯誤,而導致 3,800 萬條個人資料被洩露,當中包括美國航空、福特汽車等大型企業。

    Microsoft Power App 讓任何人毋需編碼就能建置適合工作的應用程式。
    Microsoft Power App 讓任何人毋需編碼就能建置適合工作的應用程式。

    Power App 平台提供預設範本,幫助組織和企業快速建置毋需編碼的應用程式,不過今次洩露也是出在用戶直接套用預設值之上: Power App 提供了將資料表發行至 OData 摘要 ( OData Feed )的功能,不過它的預設權限卻允許匿名使用者存取資料。假如在沒有設定資料表權限下開啟 OData 摘要功能,那就等如開放資料任人取用。

    官方文件有提醒用戶注意 OData 摘要可以匿名存取。
    官方文件有提醒用戶注意 OData 摘要可以匿名存取。

    UpGuard 指出,雖然在 Microsoft 的官方文件上,有提示用戶要注意 OData 摘要可以匿名存取,不過不少企業人員以至 Microsoft 自己多個網站應用程式都因為沒有設定資料表權限而大開中門。涉及的企業包括美國航空、福特汽車、紐約市交通局,以至用來追踪新冠病毒感染和預約疫苗接種的個人資料都外洩。幸好現時未有發現惡意利用這些資料的痕跡。

    Update 展示他們以匿名存取得來的個人資料。
    Update 展示他們以匿名存取得來的個人資料。

    雖然今次洩漏事件並非由於 Microsoft 程式上出現漏洞所致,不過 Microsoft 已經修改預設設定防止用戶出錯,同時也在 Power App 入門網站提供診斷工具給用戶查看自己的應用程式有沒有設定上的漏洞。

    您會感興趣的內容

    相關文章