低代碼開發(fā) PowerApps 一個(gè)“錯(cuò)誤”配置暴露 3800 萬條私人數(shù)據(jù)記錄，甚至還有工資條，微軟回應(yīng)：是設(shè)計(jì)問題

IT之家 8 月 24 日消息 外媒 MSPoweruser 報(bào)道，微軟 PowerApps 是一種低代碼解決方案，微軟稱它可以讓團(tuán)隊(duì)利用預(yù)制模板、拖放的簡易性和快速部署立即構(gòu)建和啟動(dòng)應(yīng)用程序，現(xiàn)在 PowerApps 的一個(gè)錯(cuò)誤配置向互聯(lián)網(wǎng)暴露了多達(dá) 3800 萬條記錄，包括社會(huì)安全號(hào)碼和疫苗狀況等項(xiàng)目。

這個(gè)漏洞是由安全公司 UpGuard 發(fā)現(xiàn)的，他們發(fā)現(xiàn)該軟件平臺(tái)的默認(rèn)配置保持了表格的安全，但沒有保持列表的安全。

該平臺(tái)已經(jīng)被 47 家企業(yè)使用，包括政府機(jī)構(gòu)，甚至微軟的工資數(shù)據(jù)也被暴露。

涉及的企業(yè)包括美國印第安納州衛(wèi)生部的接觸追蹤數(shù)據(jù)庫、馬里蘭州衛(wèi)生部冠狀病毒測(cè)試預(yù)約、紐約市教育局的工作人員和學(xué)生名冊(cè)以及紐約大都會(huì)交通局接種 COVID-19 疫苗的員工名單。

IT之家獲悉，微軟被告知了這個(gè)問題，但“確定這種行為被認(rèn)為是出于設(shè)計(jì)造成的，”讓 UpGuard 直接通知受影響的公司。

這些公司最終關(guān)閉了這些漏洞，而且微軟似乎也通知了他們的政府客戶。微軟還發(fā)布了一個(gè)工具，可以檢測(cè)列表是否允許匿名訪問，并更新了 PowerApps，這樣新的門戶將默認(rèn)有所有數(shù)據(jù)格式的安全。

微軟在一份聲明中表示，

“我們認(rèn)真對(duì)待安全和隱私問題，我們鼓勵(lì)客戶在以最符合他們隱私需求的方式配置產(chǎn)品時(shí)使用最佳做法?！?/p>

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。