据专家称,使用微软 Power Apps 门户平台的 1000 多个 Web 应用程序中的大约 3800 万条记录可以在线访问。来自 COVID-19 接触者追踪操作、疫苗注册和员工数据库的数据,包括家庭住址、电话号码、社会安全号码和疫苗接种状态,据信已包含在记录中。
主要公司和组织受到事件的影响,包括美国航空公司、福特、JB Hunt、马里兰州卫生部、纽约市交通局和纽约市公立学校。虽然数据泄露已经得到修复,但它们证明了在广泛使用的平台中一个不正确的配置设置如何产生深远的影响。
客户可以使用 Power Apps 服务轻松创建自己的 Web 和移动应用程序。它为开发人员提供应用程序编程接口 (API) 以用于他们收集的数据。但是,Upguard 发现,默认情况下,访问这些 API 会使通过 Power Apps 门户接收的数据公开,因此需要手动重新配置以保持信息的私密性。
今年 5 月,安全公司 Upguard 的研究人员开始调查这个问题。他们发现来自多个 Power Apps 门户的数据本来是保密的,任何知道去哪里查看的人都可以访问这些数据。据 Upguard 称,6 月 24 日,它向 Microsoft 安全资源中心提供了一份漏洞报告,其中包括指向公开敏感数据的 Power Apps 门户帐户的链接以及发现允许匿名数据访问的 API 的方法。
研究人员在报告中写道:“然而,暴露敏感信息的账户数量表明,该功能的风险——其错误配置的可能性和影响——尚未得到充分重视。” “多个政府机构报告称对其应用程序进行了安全审查,但没有发现这个问题,大概是因为它以前从未被充分宣传为数据安全问题。”
周一,微软的一名代表为该产品的安全性进行了辩护,并指出该公司直接与受影响的用户合作,以确保他们的数据保持私密性,并且如果他们的数据公开可用,则会通知消费者。微软发言人在一份声明中表示:“我们的产品为客户提供灵活性和隐私功能,以设计满足各种需求的可扩展解决方案。”
企业保护个人信息方法
1、 企业应部署SSL证书。为了防止用户误入假冒网站/钓鱼网站的陷阱,企业网站应部署数安时代SSL证书或更高级别的EV SSL证书,将企业网站和钓鱼网站区分开,网址栏展示HTTPS、安全锁以及证书中的网站真实身份信息,让用户拥有足够的信息判断网站真实性,对比之下,假冒网站立显原形。
2、 企业应为软件进行代码签名证书。合法APP应使用代码签名证书签名软件程序,签名后的软件,可展示软件开发者的真实身份,同时证明软件在传输过程中没有被非法篡改或植入病毒木马,用户可通过证书,判断软件来源的真实性及软件程序的完整性。
3、企业应为员工通讯邮箱部署电子邮件证书,为保护客户的利益,维护客户数据安全。邮件用户使用GDCA邮件证书对电子邮件进行数字签名并加密传输,一方面可以保证邮件发送者身份真实性,另一方面保障了邮件传输过程中不被他人阅读及篡改,并由邮件接收者进行验证,确保电子邮件内容的完整性。
声明:本网站发布的图片均以转载为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。本站原创内容未经允许不得转载,或转载时需注明出处:GDCA数安时代
3800 万条记录因 Microsoft 配置错误而暴露
发布日期:2021-08-27
标签:数据泄露
领取优惠
提交成功!