過去曾發現商業機構錯誤設定 AWS 雲端伺服器而導致用戶資料外洩的 UpGuard 又有新發現。今次被發現因設定錯誤而導致資料外洩的是在 Microsoft 的低代碼雲端應用程式開發套件 Power App , UpGuard 發現有 47 個組織或企業的應用程式因為設定錯誤,而導致 3,800 萬條個人資料被洩露,當中包括美國航空、福特汽車等大型企業。
Power App 平台提供預設範本,幫助組織和企業快速建置毋需編碼的應用程式,不過今次洩露也是出在用戶直接套用預設值之上: Power App 提供了將資料表發行至 OData 摘要 ( OData Feed )的功能,不過它的預設權限卻允許匿名使用者存取資料。假如在沒有設定資料表權限下開啟 OData 摘要功能,那就等如開放資料任人取用。
UpGuard 指出,雖然在 Microsoft 的官方文件上,有提示用戶要注意 OData 摘要可以匿名存取,不過不少企業人員以至 Microsoft 自己多個網站應用程式都因為沒有設定資料表權限而大開中門。涉及的企業包括美國航空、福特汽車、紐約市交通局,以至用來追踪新冠病毒感染和預約疫苗接種的個人資料都外洩。幸好現時未有發現惡意利用這些資料的痕跡。
雖然今次洩漏事件並非由於 Microsoft 程式上出現漏洞所致,不過 Microsoft 已經修改預設設定防止用戶出錯,同時也在 Power App 入門網站提供診斷工具給用戶查看自己的應用程式有沒有設定上的漏洞。