3800 万条记录在网上曝光 – 包括接触者追踪信息

(ChinaIT.com讯)微软错误配置的 Power Apps 导致一千多个 Web 应用可被任何人访问。

曝光的数据全部存储在微软的 Power Apps 门户服务中,这是一个开发平台,支持轻松创建供外部使用的 Web 或移动应用。

一千多个 Web 应用在互联网上不慎曝光了 3800 万条记录,包括来自多个新冠疫情接触者追踪平台、疫苗接种登记系统、求职门户和员工数据库的数据。这些数据涵盖一系列敏感信息,从人们的电话号码和家庭住址到社会保险号和新冠疫苗接种状态,不一而足。

此次泄露事件影响到一些重要的公司和组织,包括美国航空公司、福特、运输和物流公司 J.B.Hunt、马里兰州卫生部、纽约市交通局和纽约市公立学校。尽管数据泄露问题随后得到解决,但此次事件表明主流平台的一个配置失误足以产生严重后果。

曝光的数据全部存储在微软的 Power Apps 门户服务中,这是一个开发平台,支持轻松创建供外部使用的 Web 或移动应用。如果您需要在疫情期间快速启动疫苗预约登记站点,Power Apps 门户可助您一臂之力,生成面向公众的站点和数据管理后端。

从 5 月开始,安全公司 Upguard 的研究人员着手调查公开泄露私人数据的大量 Power Apps 门户,包括 Microsoft 自行创建的一些 Power Apps 门户。他们虽未发现这些数据被用于非法目的,但却揭露并帮助修复了 Power Apps 门户的设计缺陷。

除了管理内部数据库和提供应用开发基础外,Power Apps 平台还提供现成的应用编程接口用于与数据交互。但 Upguard 研究人员发现,在启用这些 API 时,平台默认会为相应数据授予公开访问权限。启用隐私设置需要手动操作。然而,许多客户保留了不安全的默认设置,应用因而被错误配置。

UpGuard 网络研究副总裁 Greg Pollock 表示:“我们发现其中一个配置错误,并导致数据泄露,但我们对此一无所知,我们需要确定这是偶发问题还是系统性问题。由于 Power Apps 门户产品的工作方式,快速调查是非常容易的。我们发现许多数据被曝光,超乎想象。”

研究人员发现曝光的信息类型非常广泛。J.B.Hunt 的求职者数据遭到曝光,包括社会保险号。微软的 Power Apps 门户则曝光了该公司的许多数据库,包括一个名为“全球薪资服务”的旧平台、两个“业务工具支持”门户和一个“客户洞察”门户。

不过,信息曝光在很多方面都是有限的。例如,印第安纳州虽然发生了 Power Apps 门户曝光数据的事件,但并不意味着该州的所有数据都被曝光。曝光范围仅限于该州 Power Apps 门户中使用的一部分接触者追踪数据。

多年来,基于云的数据库的错误配置一直是个严重的问题,导致大量数据被不当访问或被窃取。Amazon Web Services、Google Cloud Platform 和 Microsoft Azure 等主要云公司从一开始就采取措施,私下默认存储客户的数据,并标记潜在的错误配置,但直到最近行业才开始重视这个问题。

Upguard 试图调查泄露情况,并尽量将相关情况告知各个受影响的组织。然而,研究人员无法找到每个实体,因为数量太多,所以他们也向微软披露了调查结果。8 月初,微软宣布 Power Apps 门户将默认私下存储 API 数据和其他信息。该公司还发布了一个工具,客户可以用它检查门户设置。微软没有回复 WIRED 的置评请求。

虽然陷入这种情况的各个组织理论上可以自行发现问题,但 UpGuard 的 Pollock 强调,云提供商有责任提供安全私密的默认设置。否则难免会有很多用户无意间泄露数据。

对这一问题带来的持久、有时甚至痛苦的教训,整个行业都必须认真反思。

Open Crypto Audit 项目总监表示:“安全的默认设置很重要。使用特定技术构建的 Web 系统周而复始地被错误配置,肯定是哪里出了问题。如果来自不同行业和技术背景的开发人员总是在平台上犯同样的错误,那么问题肯定出在平台构建者身上。”

Pollock 表示,在微软进行修复和 UpGuard 发布通知之后,多数暴露的门户和所有敏感的门户现在都是私密和安全的。

他说道:“经过我们的多方面努力,大家已意识到云存储桶可被错误配置,是时候行动起来,加强数据保护了。我们将提供力所能及的支持,帮助保护最敏感的数据,同时探讨如何解决系统性问题。”

ChinaIT.com 网站文章仅限于提供更多信息,不代表本网站立场观点。如需转载,请注明来源 。转载之文章来源于互联网,如有版权问题,请与我们联系:content@chinait.com。

扫码关注ChinaIT小程序,随时掌握最新IT资讯