数据泄露事件暴露了公司和政府机构的数千万条私人记录

(ChinaIT.com讯)安全研究人员称,数十家大公司、州和联邦机构以及其他组织在其微软软件中设置错误,无意间将数百万人的个人信息暴露在公共互联网上长达数月。

据发现这个问题的网络安全公司 UpGuard 称,这次数据泄露事件影响到了美国航空公司、马里兰州卫生部门和纽约大都会运输管理局等机构,导致至少 3800 万条记录被泄露,包括员工信息以及与新冠疫苗接种、接触者追踪和测试预约相关的数据。

在 UpGuard 私下通知微软和受影响的组织后,漏洞已被堵住,访问信息的能力被删除。不过 UpGuard 指出,虽然这些信息不安全,但任何有专业知识和查看意愿的人都可以获得姓名、社会保险号、电话号码、出生日期、人口统计信息、地址甚至雇主药物测试日期和工会会员数据。

UpGuard 表示,就福特汽车公司而言,分发给经销商的贷款车辆名单也已曝光。

福特公司发言人 T.R.Reid 对 CNN Business 表示:“当我们了解到这个问题时,我们迅速采取行动评估风险(低)并缩小差距,没有敏感的个人信息被泄露。”

目前尚不清楚哪些联邦机构可能受到该问题的影响。

CNN Business 联系了几家受影响的机构,包括美国航空公司、马里兰州卫生机构、MTA 和纽约教育部,证实他们的系统已经安全,没有迹象表明他们的数据被不当访问。

微软告诉 CNN,只有少数客户将其系统配置为允许未经授权的查看者访问数据。

一位微软发言人在声明中表示:“我们非常重视安全和隐私,鼓励客户在配置产品时采用最佳实践,以便最好地满足他们的隐私需求。”此后,该公司更改了软件的安全设置,对一些用户默认设置了更多限制。

UpGuard 在周一发布的一份工作总结报告中表示,由于配置错误,至少有 47 个组织在不知不觉中泄露了他们的信息。该公司告诉 CNN,可能还有更多组织没有被发现。UpGuard 的发言人 Kelly Rethmeyer 指出,由于之前没有发现这个问题,大多数组织都不知道要在现有的安全审计系统中寻找这个问题。

Rethmeyer 表示:“这就是为何如此多的组织容易受到这个潜在问题的影响。在大多数情况下,我们的经验是,人们非常愿意迅速控制并纠正它,没有人意识到这是一个潜在的安全问题。”

UpGuard 报告中引用的其他组织包括货运巨头公司 J.B.Hunt、印第安纳州政府和微软本身。 J.B. Hunt 没有立即回应置评请求。除州卫生官员发布的披露泄漏事件的新闻稿之外,印第安纳州的发言人拒绝发表其他评论。

美国航空公司在一份声明中表示,其版本的错误配置影响到了“与公司差旅经理有关的业务联系信息”。

公司发言人 Andrea Koos 表示:“乘客数据没有受到影响。感谢 UpGuard 等安全公司为确保我们的业务和客户安全所做的努力。”

马里兰州卫生部门发言人 Charles Gischlar 表示,该机构调查了 UpGuard 报告,发现“没有任何迹象表明任何时候泄露了个人身份信息或个人健康信息。”

纽约市学校的一位发言人表示,该部门致力于保护其学校社区的隐私,并立即采取措施保护数据并防止再次泄露。一位 MTA 官员告诉 CNN,没有数据被盗,问题已经解决。

这一问题可追溯到 Microsoft Power Apps 中的隐私设置,该产品被公共和私人实体广泛用于共享数据。一些组织(例如公共卫生机构)已使用 Power Apps 允许公众访问自己的新冠测试结果或疫苗接种记录的详细信息。其他组织使用该软件进行内部记录。

UpGuard 的报告指出,默认情况下,用于限制用户可以看到哪些数据并且可以防止泄漏的访问设置已被设置为关闭。UpGuard 表示,它于 5 月 24 日在一家机构首次发现了这个问题。6 月 24 日,UpGuard 在网络上扫描了类似不安全的数据库并找到了许多其他示例后,将该问题作为潜在的软件漏洞报告给了微软。据报道,微软回应称这些设置是按照设计运行的;微软并没有向 CNN 否认这一说法。

UpGuard 表示,它于 7 月初开始通知受影响的组织,许多组织在几天内就堵上了漏洞。UpGuard 表示,到 7 月底,在一个似乎支持美国政府机构使用 Power Apps 的域名上托管的数据不再公开。

微软周一告诉 CNN,它已经更改了默认设置,以便使用 Power Apps 基本模板和设计工具的组织将自动启用隐私设置。微软告诉 CNN,在 Power Apps 上进行更复杂或自定义开发的其他组织仍需要自己启用设置。UpGuard 表示,微软还发布了一个工具来帮助组织验证其设置。

微软拒绝回答 CNN 关于初始默认设置是否有特定原因的问题。但该公司表示,其已经为开发人员提供了指导,并提供了随时可用的文档,针对如何根据他们的需求正确配置软件向组织提供了建议。

 

ChinaIT.com 网站文章仅限于提供更多信息,不代表本网站立场观点。如需转载,请注明来源 。转载之文章来源于互联网,如有版权问题,请与我们联系:content@chinait.com。

扫码关注ChinaIT小程序,随时掌握最新IT资讯