微软通过粗心的 Power App 配置泄露了 3800 万条敏感数据记录

泄露的数据包括 COVID-19 疫苗接种记录、社会安全号码和与美国航空公司、福特、印第安纳州卫生部和纽约市公立学校相关的电子邮件地址。

几个月来，微软的 Power Apps 门户暴露了与 3800 万条记录相关的个人数据，包括 COVID-19 疫苗接种状态、社会安全号码和电子邮件地址。受所谓“平台问题”影响最大的消费者是与美国航空公司、福特、印第安纳州卫生部和纽约市公立学校有业务往来的消费者。

微软将其 Power Apps 描述为“一套应用程序、服务和连接器，以及一个数据平台，它提供了一个快速开发环境来构建满足您业务需求的自定义应用程序。” 开发人员使用该工具来构建在本地或与云共享数据的应用程序。

周一，UpGuard Research 透露，微软的 Power Apps 管理门户无意中泄露了 47 家企业的数据，共暴露了 3800 万条个人记录。它声称微软的 Power Apps 平台在强迫客户将他们的数据配置为私有或公共数据方面存在缺陷。Microsoft 不认为泄漏数据问题是一个漏洞，而是一个可以改进的配置问题。

除了前面提到的数据集，研究人员将他们的发现概括为：

美国航空公司：包含 398,890 条“联系人”记录的集合，其中包括全名、职位、电话号码和电子邮件地址。第二个“测试”数据集包括 470,400 条记录，其中包括全名、职位、电话号码和电子邮件地址。

德克萨斯州丹顿县：共有 632,171 条记录泄露，包括疫苗接种类型、预约日期和时间、员工 ID、全名、电子邮件地址、电话号码和出生日期。研究人员写道：“列表 'contactVaccinationSet' 有 400,091 条记录，包含全名和疫苗接种类型，而 'contactset' 有 253,844 条记录，包含全名和电子邮件地址。”

JB Hunt 运输服务：这家运输物流公司公开了 905,228 条记录，其中包括客户全名、电子邮件地址、实际地址和电话号码。超过 25 万的记录还包括美国社会安全号码。

微软自己的全球薪资服务门户：研究人员发现了 332,000 份微软员工和承包商的记录，包括他们的@microsoft.com 电子邮件地址、全名和电话号码，这些记录似乎供个人使用。

微软的 Power Apps 是如何搞砸的

UpGuard 表示，数据泄漏与 Power Apps 平台如何利用开放数据协议 (OData) 及其应用程序编程接口 (API) 进行处理有关。例如，在 Power Apps 平台内处理的某些数据需要公开，而其他相关数据集需要私有。

“在 COVID-19 疫苗接种的注册页面等情况下，有些数据类型应该是公开的，比如疫苗接种地点的位置和可用的预约时间，以及应该是私密的敏感数据，比如被接种者的个人识别信息，”UpGuard 写道。

研究人员发现，本应保密的敏感私人用户数据被隔离，但仍可公开访问。UpGuard 解释说，问题在于 Microsoft 用于在 Power Apps 中共享和存储敏感数据的配置选项“可能导致数据泄露”。

研究人员将注意力集中在 Power Apps 用于检索和存储公共和私有/敏感数据的 OData API。更具体地说，他们专注于如何存储数据（例如个人身份信息或 PII）并将其格式化为“表权限”以供共享或不共享。问题的关键归结为配置设置，该设置指示 Power Apps 用户“将列表记录上的启用表权限布尔值设置为 true”。

“如果没有设置这些配置并且启用了 OData 提要，匿名用户可以自由访问列表数据，”研究人员写道。

微软说这是一个功能，而不是一个错误

在其研究人员的过程中，UpGuard 发现 Microsoft 客户（甚至 Microsoft 本身）的 OData 错误配置是普遍且系统的。“经验证据表明，技术文档中的警告不足以避免错误配置 Power Apps 门户的 OData 列表源的严重后果，”研究人员写道。

UpGuard 于 2021 年 6 月 24 日将数据泄露通知微软。微软立即开始调查其 Power Apps 应对泄露数百万敏感数据记录负责的说法。6 月 29 日，该公司声称该平台按计划运行。

“此案已经结案，微软分析师告诉我们，他们已经确定这种行为是有意为之，”UpGuard 写道。

在接下来的几周里，UpGuard 继续发现与 Power Apps 通过其 API 处理 OData 的方式相关的大量数据暴露。

“在我们通知了一些最严重的风险后，微软稍后会采取行动。在接下来的几周内，我们花了数周时间分析敏感度指标的数据，并与受影响的组织联系，”根据 UpGuard 报告。

射击使者

对于 UpGuard 试图阐明 Microsoft 的 Power Apps 问题的所有尝试，它不仅对微软来说是不受欢迎的人，而且对它通知数据泄露的其他人来说也是不受欢迎的。对 UpGuard 发现印第安纳州公开暴露的敏感 COVID-19 疫苗记录的数据的反应是典型的。

研究人员于 7 月 2 日将其公开访问的敏感数据存储通知了印第安纳州的副首席技术官。虽然数据在 7 月 7 日之前被删除，但印第安纳州在 8 月 17 日发布了一份新闻稿，公开承认数据泄露，同时还指责 UpGuard “不当”访问数据，声称这是为了从状态。

“UpGuard 从未接触过印第安纳州或任何其他被通知业务违规的公司，[媒体] 的声明没有任何价值。相反，UpGuard 为印第安纳州卫生部及其所服务的人提供了数小时的无偿支持，”UpGuard 写道。UpGuard 还向州政府核实，它发现的所有可公开访问的数据都已被销毁。

微软采取行动帮助客户

自从 UpGuard 披露该问题后，微软发布了一个工具，用于检查 Power Apps 门户是否存在泄漏数据。UpGuard 说，它还计划更改产品，以便在默认情况下强制执行表权限。

“为了诊断配置问题，门户检查器可用于检测允许匿名访问的列表。更重要的是，新创建的 Power Apps 门户将默认启用表权限。仍然可以更改表配置以允许匿名访问，但默认启用权限将大大降低未来配置错误的风险，”UpGuard 写道。

UpGuard 补充说，它同意微软的立场，即该问题不是软件漏洞，而是“需要对产品进行代码更改”的平台问题。

“根据观察到的用户行为更改产品是更好的解决方案，而不是将系统性数据机密性丢失标记为最终用户配置错误，从而使问题持续存在并使最终用户面临数据泄露的网络安全风险， ”UpGuard 说。“最终，微软已经做了他们能做的最好的事情，即默认启用表权限并提供工具来帮助 Power Apps 用户自我诊断他们的门户。”