lswcap
与 COVID-19 疫苗接种记录和社会安全号码相关的 3800 万个人信息从 Microsoft Power Apps 管理门户站点泄露,该工具使任何人都可以使用 Microsoft 提供的自然语言编码创建复杂的应用程序。做。
Microsoft Power Apps 是一个应用程序服务连接器套件数据平台,可为构建自定义应用程序以满足业务需求提供快速开发环境。
UpGuard 是一个安全平台,发现机密信息是从这个 Microsoft Power Apps 管理门户网站泄露的。据该公司称,泄露的机密数据包括各种类型的 COVID-19 疫苗预订、求职者社会安全号码、员工 ID 以及数百万个姓名和电子邮件地址组合,其中包括来自使用 Microsoft Power Apps 的 47 家公司的 3800 万个案例。据说机密信息已经泄露。
在此次公布的数据中,包含详细信息的数据来自美国航空和福特、印第安纳州健康州和纽约市公立学校。 Upguard 披露了一些数据泄露事件。报道称,美国航空公司的个人信息清单,包括姓名、职务、电话号码和电子邮件地址,两次泄露,第一次泄露为398,890,第二次泄露为470,400。在德克萨斯州丹顿县,632,171 条个人信息被泄露,包括疫苗接种相关信息、疫苗预订日期、员工 ID、姓名、电子邮件地址、电话号码和出生数据。此外,4091人的姓名和疫苗接种信息等个人信息,以及253844套姓名和电子邮件地址也被泄露。此外,JB Hunt 传输服务泄露了 95,228 组客户姓名、电子邮件地址、地址和电话号码,其中超过 250,000 条个人信息包括社会安全号码。微软的付费服务泄露了 332,000 名微软员工和承包商的个人信息,包括姓名、电话号码和电子邮件地址。
据 UpGuard 称,数据泄露涉及 Microsoft Power Apps 如何协调开放数据协议和 API。例如,在 Microsoft Power Apps 中处理的某些数据应该是公开的,而其他相关数据集应该是私有的。具体而言,在 COVID-19 疫苗预订网站的情况下,应将接种者的个人信息(如接种地点或可用预订时间)公开处理。
但是,微软 Power Apps 表示,一些应该被视为私人的民用船舶的信息存储在可访问的状态。指出这是一个规范问题,如果启用 OData 源,即使由 Microsoft Power Apps 私下处理的数据也可以自由访问数据。
事实上,大多数 Microsoft Power Apps 用户错误地配置了他们的 OData 设置,让任何人都可以访问机密信息,从而导致这种大规模的数据泄露。
另一方面,微软认为此次数据泄露并非系统漏洞,而是配置问题。为了解决这个问题,微软正在发布一个工具来验证 Microsoft Power Apps 数据没有被泄露,并计划更改规范以默认应用数据权限设置。相关信息可以在这里找到。
Add comment