据外媒报道,许多公司都在使用微软的Power App平台,由于默认安全设置较弱,所以这意味着3800万份记录的敏感数据向公众公开了好几个月。Upguard进行的调查显示,Power App用户中有相当多的人没有保护自己的数据库。
进一步的调查显示,这个问题是由薄弱的默认安全设置造成的,如果用户不采取手动操作数据就会暴露在外面。
根据Wired的一份报告,美国航空公司、福特公司、纽约市公立学校和多个州的COVID-19接触者追踪数据库等来源的数据都被暴露。Upguard最初的发现是在2021年5月,但微软的修复程序直到8月才全面推出。
UpGuard负责 *** 研究的副总裁Greg Pollock表示:“我们发现其中一个被错误配置为暴露数据,我们从没听说过这种情况,我们想,这是一次性问题,还是一个系统性问题?由于Power Apps门户产品的工作方式,所以很容易快速进行调查。我们发现有很多这样的东西暴露在外。这是疯狂的。”
Upguard开始调查大量的Power App门户网站,这些网站本应是私有的–甚至是微软开发的应用也存在配置错误的情况。然而,尽管这些数据是向公众开放的,但据知没有任何数据被泄露。
问题的核心在于默认的安全设置。比如在设置Power App和连接API时,平台默认使相应的数据可以公开访问。
由于8月份的更新,Power Apps将默认设置安全设置以保护数据隐私。虽然Upguard努力跟公开敏感数据的平台进行沟通,但安全问题的规模太大、无法涵盖每一家企业。
“安全的默认设置非常重要,”开放加密审计项目(Open Crypto Audit Project)主任Kenn White指出:“当一个模式出现在使用特定技术构建的面向 *** 的系统中而该系统仍配置错误时就会出现非常严重的问题。如果来自不同行业和技术背景的开发者继续在一个平台上犯同样的错误,那么这个平台的创造者就应该受到关注。”
据悉,暴露的数据包括几个COVID-19接触者追踪平台、疫苗接种注册、工作申请门户和员工数据库。从社会安全号码到姓名和地址的所有信息都留在了开放的数据库中。
Upguard再次表示,目前还没有任何数据被泄露。
Microsoft Power应用的安全设置问题跟该领域的许多其他平台的问题相呼应。像亚马逊和Google这样的公司经常也面临默认设置不佳而导致数据泄露的问题。
(消息及封面来源:cnBeta)
近日名为 Nimbuspwn 的漏洞组合被曝光,可以让本地攻击者在 Linux 系统上提升权限,部署从后门到勒索软件等恶意软件。微软的安全研究人员在今天的一份报告中披露了这些问题,并指出它们可以被串联起来,在一个脆弱的系统上获得 root 权限。 Nimbuspwn 存在于 networkd-dis...
Hackernews 编译,转载请注明出处: 一个名为“RED-LILI”的攻击者发布了近800个恶意模块,与正在进行的针对 NPM 软件包库的大规模供应链攻击活动联系紧密。 以色列安全公司 Checkmarx 说: “通常,攻击者使用一个匿名的一次性 NPM 帐户发动攻击。”“这一次,攻击...
一家欧洲隐私监督机构已经制裁了有争议的面部识别公司Clearview AI,该公司从互联网上搜刮自拍,积累了约100亿张脸的数据库,为其出售给执法部门的身份匹配服务。意大利的数据保护机构今天宣布对Clearview AI违反欧盟法律的行为处以2000万欧元罚款。 同时命令这家有争议的公司删除其...
一名安全研究人员发现了Cue Health公司家用COVID-19检测试剂盒的一个漏洞,可能会让用户伪造结果。Cue Health的COVID-19检测试剂盒是一种蓝牙操作的分子测试,可以在20分钟内检测出阳性标本。该系统使用鼻拭子测试冠状病毒,鼻拭子被插入一个一次性盒中,由电池供电的Cue阅读器进...
适用于桌面 PC 和笔记本的 Chrome 稳定版将新增“Privacy Guide”功能,它将帮助该网络浏览器的用户理解和实施隐私、安全和在线安全设置。虽然 Chrome 浏览器一直有大部分的这些设置,但现在 Google 声称隐私和安全控制应该更容易理解。 图片链接:https://static...
根据 NK News 获得的日志文件和域名记录显示,在上周五和上周日朝鲜的关键服务器无法访问,从而在互联网上消失了数个小时。网络安全研究员 Junade Ali 说,连接失败的模式表明,朝鲜的 IT 基础设施可能受到了分布式拒绝服务(DDOS)攻击。 图片来自于 Pixabay Ali 表示:“断...