据外媒报道,许多公司都在使用微软的Power App平台,由于默认安全设置较弱,所以这意味着3800万份记录的敏感数据向公众公开了好几个月。Upguard进行的调查显示,Power App用户中有相当多的人没有保护自己的数据库。
进一步的调查显示,这个问题是由薄弱的默认安全设置造成的,如果用户不采取手动操作数据就会暴露在外面。
根据Wired的一份报告,美国航空公司、福特公司、纽约市公立学校和多个州的COVID-19接触者追踪数据库等来源的数据都被暴露。Upguard最初的发现是在2021年5月,但微软的修复程序直到8月才全面推出。
UpGuard负责 *** 研究的副总裁Greg Pollock表示:“我们发现其中一个被错误配置为暴露数据,我们从没听说过这种情况,我们想,这是一次性问题,还是一个系统性问题?由于Power Apps门户产品的工作方式,所以很容易快速进行调查。我们发现有很多这样的东西暴露在外。这是疯狂的。”
Upguard开始调查大量的Power App门户网站,这些网站本应是私有的–甚至是微软开发的应用也存在配置错误的情况。然而,尽管这些数据是向公众开放的,但据知没有任何数据被泄露。
问题的核心在于默认的安全设置。比如在设置Power App和连接API时,平台默认使相应的数据可以公开访问。
由于8月份的更新,Power Apps将默认设置安全设置以保护数据隐私。虽然Upguard努力跟公开敏感数据的平台进行沟通,但安全问题的规模太大、无法涵盖每一家企业。
“安全的默认设置非常重要,”开放加密审计项目(Open Crypto Audit Project)主任Kenn White指出:“当一个模式出现在使用特定技术构建的面向 *** 的系统中而该系统仍配置错误时就会出现非常严重的问题。如果来自不同行业和技术背景的开发者继续在一个平台上犯同样的错误,那么这个平台的创造者就应该受到关注。”
据悉,暴露的数据包括几个COVID-19接触者追踪平台、疫苗接种注册、工作申请门户和员工数据库。从社会安全号码到姓名和地址的所有信息都留在了开放的数据库中。
Upguard再次表示,目前还没有任何数据被泄露。
Microsoft Power应用的安全设置问题跟该领域的许多其他平台的问题相呼应。像亚马逊和Google这样的公司经常也面临默认设置不佳而导致数据泄露的问题。
(消息及封面来源:cnBeta)
据Security affairs网站消息,4月21日,安全研究人员Khaled Nassar在Github上公开了Java 中新披露的数字签名绕过漏洞的PoC代码,该漏洞被追踪为CVE-2022-21449(CVSS 分数:7.5)。 漏洞的影响范围主要涉及 Java SE 和 Oracle Gr...
Microsoft Defender for Endpoint 今天出现了非常严重的误报事件,竟然将自家的 Office 应用程序更新 OfficeSvcMgr.exe 检测为勒索软件。今天早些时候,系统管理员在更新 Microsoft Defender for Endpoint 时注意到了恶意程...
上周,Chrome Security 团队的 Adrian Taylor,在一篇谷歌安全博客文章中解释了“为何在野外被利用的 CVE 漏洞似乎有所增加”。对于这种漏洞利用的可见性增长趋势,归咎于多个方面的因素。而谷歌旗下的 Project Zero 团队,也有对包括 WebKit、IE、Flash、...
对微软Exchange服务器造成严重破坏的臭名昭著的Hafnium黑客组织回来了。但这一次,微软清楚地知道这个国家支持的威胁行为者团体的活动意图,该组织正在利用”Tarrask”恶意软件来瞄准并不断削弱Windows操作系统的防御能力。 微软检测和响应小组(DART)在一篇博文中解释说,Hafni...
本周三,包括美国能源部(DOE)、网络安全和基础设施安全局(CISA)和联邦调查局(FBI)在内的多个机构,向关键基础设施运营商发出了严重的潜在攻击警报。近年来,某些持续威胁(APT)参与者创建了许多定制工具,并在针对工业控制系统(ICS)、监控和数据采集设备(SCADA)等关键基础设施的攻击事件中...
白俄罗斯政府被指控至少对欧洲的Ghostwriters攻击事件负有部分责任。虽然网络安全公司在涉及威胁集团的归属时通常会谨慎行事,但Mandiant表示,它有高度的信心认为Ghostwriter–同时跟UNC115活动也有关联–是一个可能代表该国政府的网络犯罪组织。 今年早些时候,在一架商业飞机被...