微软云平台暴露3800万条客户数据:因默认配置不当
微软低代码开发平台Power Apps默认配置不安全,导致上千款应用的3800万条记录在线暴露,记录中包括大量个人敏感信息,美国航空、福特、多个州政府机构等众多组织受影响;
该事件再次表明,流行技术平台中的一项错误设置,很可能引发深远的影响。
上千款Web应用程序错误暴露在开放互联网之上,涉及多个COVID-19接触者追踪平台、疫苗接种登记、工作申请门户以及员工数据库的多达3800万条记录已经确认暴露。数据中涵盖一系列敏感信息,包括电话号码、家庭住址、社保号码乃至COVID-19疫苗接种状态。
此次事件还给多家主要企业及组织造成影响,包括美国航空公司、福特、运输与物流企业J.B. Hunt、马里兰州卫生部、纽约市交通局以及纽约多所公立学校。虽然情况已经得到控制,但事件再次表明,流行技术平台中的一项错误设置很可能引发深远的影响。
微软Power Apps平台默认接口配置不当
此次曝光的数据全部存储在微软Power Apps门户服务当中。这是一套低代码开发平台,用户可以轻松创建供外部使用的Web或移动应用程序。如果您需要在疫情期间快速启动疫苗预约注册点,Power Apps门户可以快速生成面向公众的站点及数据管理后端。
自今年5月起,安全公司Upguard的研究人员就开始调查Power Apps门户中本应保密的大量数据为何被意外公开,其中甚至涉及一部分微软自己开发的Power Apps。从已知情况来看,并没有任何数据遭到滥用,但此次调查仍然揭示出Power Apps门户设计中的致命疏漏。现在问题已经得到修复。
除了管理内部数据库以及提供应用开发基础之外,Power Apps平台还提供现成的应用程序编程接口以实现数据交互。但Upguard的研究人员们意识到,在启用这些API时,平台会默认开放相应数据的访问权限。换句话说,必须手动操作才能启用隐私设置。结果就是,大量客户将这一默认配置错误地保留到了应用程序当中。
UpGuard公司网络研究副总裁Gerg Pollock表示,“我们发现其中一项配置错误会导致数据暴露。这实在是闻所未闻,我们很好奇到底是偶发事件还是系统性问题。由于Power Apps门户采取开放运作方式,所以快速调查的难度很低。我们很快发现存在大量此类数据暴露,情况相当普遍。”
研究人员还偶尔发现,暴露的信息类型非常广泛。J.B. Hunt暴露的是包括社保号码在内的求职者数据。微软自己也在Power Apps门户上公开了多个数据库,包括一套名为“全球薪资服务”的旧平台、两个“业务工具支持”门户外加一个“客户洞见”门户。
好在信息本身仍受一定限制。例如,印第安纳州虽然在Power Apps门户上公开了数据,但这只是该州全部持有数据中一部分,即州内部分新冠接触者追踪数据。
云平台配置不当已是行业多年顽疾
多年以来,云端数据库的错误配置一直是个大问题,经常导致人们意外将大量数据暴露给无关甚至是恶意人士。亚马逊AWS、Google Cloud Platform以及微软Azure等主流云巨头在起步阶段就采取了默认隐藏客户数据并标记潜在错误配置的方法;但直到最近,整个云计算行业才把这方面问题提上议事日程。
经历多年的云错误配置与数据暴露研究,UpGuard的研究人员们惊讶地发现,很多以往从未见过的平台上仍存在这些问题。UpGuard试图调查暴露情况并尽可能向受影响组织发出通告。然而,由于数量太大、他们无法与各家实体联系,最终只能向微软直接披露调查结果。
8月初,微软宣布Power Apps门户开始默认隐藏API数据及其他信息。微软方面还发布一款工具,可供客户检查自己的门户设置。我们就此事向微软发出评论请求,但对方并未回应。
虽然在理论上,受到此次事件影响的组织完全可以自行发现问题,但UpGuard的Pollock强调称,云服务商有责任提供安全、非公开的默认设置。否则,难免会有很多用户在无意之中公开自己的数据。
这是一项重要教训,整个行业往往需要经历坎坷甚至是痛苦才能真正掌握。
开放加密审计项目主管Kenn White表示,“保障默认设置的安全性非常重要。当一种模式出现在由特定技术构建的Web系统中时,一旦其中存在频繁出现的错误配置,必然会引发严重的后果。而如果来自不同行业、拥有不同技术背景的开发人员经常在同一平台上犯下同样的错误,那么整治的焦点就应该放在平台的构建者身上。”
Pollock证实,经历了UpGuard的通报与微软的积极修复,绝大多数暴露在外的门户——包括全部最为敏感的门户——目前都已转为非公开访问。
他总结道,“众所周知,云存储桶很容易发生配置错误,而我们安全研究者的职责并不在于保护这类数据。但问题客观存在、以往也没有人愿意关注,所以我们认为自己有责任在讨论系统层面的风险态势之前,至少先向那些最敏感的意外暴露数据施以援手。”