IT之家8月24日消息外媒MSPowrusr报道,微软PowrApps是一种低代码解决方案,微软称它可以让团队利用预制模板、拖放的简易性和快速部署立即构建和启动应用程序,现在PowrApps的一个错误配置向互联网暴露了多达万条记录,包括社会安全号码和疫苗状况等项目。
这个漏洞是由安全公司UpGuard发现的,他们发现该软件平台的默认配置保持了表格的安全,但没有保持列表的安全。
该平台已经被47家企业使用,包括政府机构,甚至微软的工资数据也被暴露。
涉及的企业包括美国印第安纳州卫生部的接触追踪数据库、马里兰州卫生部冠状病毒测试预约、纽约市教育局的工作人员和学生名册以及纽约大都会交通局接种COVID-19疫苗的员工名单。
IT之家获悉,微软被告知了这个问题,但“确定这种行为被认为是出于设计造成的,”让UpGuard直接通知受影响的公司。
这些公司最终关闭了这些漏洞,而且微软似乎也通知了他们的政府客户。微软还发布了一个工具,可以检测列表是否允许匿名访问,并更新了PowrApps,这样新的门户将默认有所有数据格式的安全。
微软在一份声明中表示,
“我们认真对待安全和隐私问题,我们鼓励客户在以最符合他们隐私需求的方式配置产品时使用最佳做法。”
