示意圖。(CC BY 2.0)Photo by Blogtrepreneur on Flickr(https://www.flickr.com/photos/143601516@N03/29972713206/in/photostream/)

安全廠商UpGuard發現,微軟PowerApps入口網站(portal)平臺的預設資料組態問題,導致超過3800萬用戶接種疫苗或個資公開於網路上,受害者包括福特、美國航空及數個州政府。

PowerApps是微軟力推的低程式碼開發、流程設計等生產力工具。PowerApps 入口網站可讓內部用戶輸入及儲存資訊,且開放外部用戶利用不同的身分識別登入、建立、查詢或瀏覽資料,或是網站上App互動。

但經常揭露雲端平臺漏洞的UpGuard發現它某個預設的存取權限設定,可能導致美國紐約市、印第安那及馬里蘭州等政府及數家大型企業儲存的用戶資料,包括COVID-19疫苗接種或社會安全碼、電子郵件個資曝露於開放網路上。

UpGuard解釋,Power Apps的原理是,Power Apps 內部資料表單(list)中擷取Microsoft Dataverse表格中的資料,再透過API將資料曝露或顯示於Power Apps入口網站上。問題出在PowerApps用來汲取資料的API之一:OData API。開發人員以此API啟動從OData Fee表單(list)撈出資料的OData feed同時,一定要記得在功能選單中啟動「設定表格許可(Table Permission)」,以確保不會有匿名存取,或是非授權用戶存取資料。但這表格存取權限設定在Power Apps表單中是預設關閉的;也就是說,只要用戶忘了變更設定,使用OData API的單位等於資料公開曝露於開放網路上。

研究人員發現了數千個入口網站曝露出可匿名存取的表單 。其中幾個較重大的例子是美國3個州、市政府的入口網站,曝光的資料包括COVID-19案例及疫苗接種、求職者社會安全碼及其他可識別個人身份的資訊(PII)。其他用戶還包括德州登頓郡(Denton County)、美國航空、J.B. Hunt運輸服務公司、福特及微軟。總計曝險的資料涉及3800多萬用戶。

UpGuard除了通知幾個重大案例的用戶外,也在今年6月底聯絡微軟,後者接獲通知後變更了PowerApps入口網站的資料組態預設。


熱門新聞

Advertisement