微软“功能性”泄漏3800万条敏感数据
微软泄漏了3800万条敏感数据,但微软声称这是程序功能而非漏洞。泄露的数据包括新冠疫苗接种记录、社会安全号码和与美洲航空公司、福特、印第安纳州卫生部和纽约市公立学校相关的电子邮件地址。
本周一,据UpGuard Research透露,微软的Power Apps管理门户无意中泄露了47家企业的数据,共暴露了3800万条个人记录。包括COVID-19新冠疫苗接种状态、社会安全号码和电子邮件地址。受该“平台问题”影响最大的是与美洲航空公司、福特、印第安纳州卫生部和纽约市公立学校有业务往来的消费者。
UpGuard Research声称微软的Power Apps平台在强迫客户将他们的数据配置为私有或公共数据方面存在缺陷。但Microsoft不认为导致泄漏数据原因是程序漏洞,而是一个可以改进的配置问题。
微软将其Power Apps描述为“一套应用程序、服务和连接器,以及一个数据平台,它提供了一个快速开发环境来构建满足您业务需求的自定义应用程序。”开发人员使用该工具来构建在本地或与云共享数据的应用程序。
除了前面提到的数据集,研究人员还列出了受影响企业的泄漏数信息:
美洲航空公司:包含398,890条“联系人”记录的集合,其中包括全名、职位、电话号码和电子邮件地址;第二个“测试”数据集包括470,400条记录,其中包括全名、职位、电话号码和电子邮件地址。
德克萨斯州丹顿县:共有632,171条记录泄露,包括疫苗接种类型、预约日期和时间、员工ID、全名、电子邮件地址、电话号码和出生日期。研究人员写道:“列表 ‘contactVaccinationSet’ 有400,091条记录,包含全名和疫苗接种类型,而 ‘contactset’有253,844条记录,包含全名和电子邮件地址。”
JB Hunt运输服务:这家运输物流公司公开了905,228条记录,其中包括客户全名、电子邮件地址、实际地址和电话号码。超过25万的记录还包括美国社会安全号码。
微软自己的全球薪资服务门户:研究人员发现了332,000份微软员工和承包商的记录,包括他们的@microsoft.com电子邮件地址、全名和电话号码,这些记录似乎供个人使用。
微软的Power Apps是如何搞砸的
UpGuard表示,数据泄漏与Power Apps平台利用开放数据协议(OData)及其应用程序编程接口(API)进行处理数据的方式有关。例如,在Power Apps平台内处理的某些数据需要公开,而其他相关数据集需要私有。
“在COVID-19疫苗接种的注册页面等应用中,有些数据类型应该是公开的,比如疫苗接种地点的位置和可用的预约时间,也涉及需要保密的敏感数据,比如被接种者的个人识别信息,”UpGuard写道。
研究人员发现,本应保密的敏感私人用户数据虽然被隔离,但仍可公开访问。UpGuard解释说,问题在于微软Power Apps中共享和存储敏感数据的配置选项“可能导致数据泄露”。
研究人员将问题定位到Power Apps用于检索和存储公共和私有/敏感数据的OData API。更具体地说,此类API专注于如何存储数据(例如个人身份信息或PII)并将其格式化为“表权限”以供共享或不共享。问题的关键归结为配置设置,该设置指示Power Apps用户“将列表记录上的启用表权限布尔值设置为true”。
“如果没有设置这些配置并且启用了OData提要,匿名用户可以自由访问列表数据,”研究人员写道。
微软说这是一个功能,而不是一个漏洞
研究人员调查的过程中,UpGuard发现很多微软客户(甚至包括微软自身)的OData错误配置是非常普遍且系统性的。“经验证据表明,技术文档中的警告不足以避免Power Apps门户的OData列表源的配置错误并导致严重后果,”研究人员写道。
UpGuard曾于2021年6月24日将数据泄露通知微软。微软立即开始调查其Power Apps应对泄露数百万敏感数据记录负责的说法。6月29日,该公司声称该平台按计划运行。
“此案已经结案,微软分析师告诉我们,他们已经确定这种行为是有意为之,”UpGuard写道。
在接下来的几周里,UpGuard继续发现与Power Apps API处理OData错误配置导致的大量数据暴露。
“在我们通知了一些最严重风险后,微软稍后会采取行动。在接下来的几周内,我们花了数周时间分析敏感度指标的数据,并与受影响的组织联系,”根据UpGuard报告。
“杀掉信使”
显然,UpGuard对Power Apps导致数据泄露问题的调查,并不受微软欢迎,而且微软对UpGuard通知受数据泄露影响的其他企业的做法也是排斥的。微软对UpGuard曝光印第安纳州泄漏新冠疫苗记录数据的反应已经说明了这一点。
UpGuard的研究人员曾于7月2日通知印第安纳州的副首席技术官疫苗敏感数据泄漏。随后,这些数据在7月7日之前被删除,但印第安纳州在8月17日发布了一份新闻稿,公开承认数据泄露,同时还指责UpGuard“不当”访问数据,声称这是为了炒作。
但UpGuard否认接触过印第安纳州或任何其他被数据泄漏的公司,UpGuard还向州政府核实,它发现的所有可公开访问的数据都已被销毁。
微软采取行动
自从UpGuard披露该问题后,微软发布了一个工具,用于检查Power Apps门户是否存在数据泄漏。微软还计划更改产品,以便在默认情况下强制执行表权限。
“为了诊断配置问题,门户检查器可用于检测允许匿名访问的列表。更重要的是,新创建的Power Apps门户将默认启用表权限。仍然可以更改表配置以允许匿名访问,但默认启用权限将大大降低未来配置错误的风险,”UpGuard写道。
UpGuard补充说,它同意微软的立场,即该问题不是软件漏洞,而是“需要对产品进行代码更改”的平台问题。
“微软根据观察到的用户行为完善产品,而不是一股脑将数据泄露推卸给用户的配置错误是更好的解决方案,这可以从根本上解决问题,防止更多用户面临数据泄露的网络安全风险, ”UpGuard说。“最终,微软已经做了他们能做的最好的事情,即默认启用表权限并提供工具来帮助Power Apps用户自我诊断他们的门户。”
参考资料
