Don't Miss
微軟程式開發工具有安全漏洞
By 信報財經新聞 on August 25, 2021
原文刊於信報財經新聞「StartupBeat創科鬥室」
Power Apps一些設定或令3800萬條程式用戶資料外洩。(微軟網站圖片)
愈來愈多人利用坊間的開發工具,自行開發應用程式,以協助工作或改善公司營運。不過,運用這些開發工具時需要格外留神。據外媒報道,有網絡安全公司發現,微軟旗下的商務應用程式開發工具Power Apps,當中一些預設設定存在安全漏洞,可能導致超過3800萬條程式用戶資料外洩。
Power Apps或洩用戶資料
踢爆相關資安風險的,是網絡安全軟件公司UpGuard。該公司發現,使用Power Apps工具的開發者,在透過應用程式介面(API)將儲存於Microsoft Dataverse表格的資料顯示於Power Apps入口網站(Portal),相關API的「設定表格許可」(Table Permission)是預設關閉的,但UpGuard指出,相關功能應保持啟動,若開發者忘記變更設定,讓相關功能維持關閉,可令資料被匿名或非授權用戶存取。
UpGuard團隊經研究後發現,美國航空、福特汽車等大型跨國企業,以至美國馬里蘭州健康部門、紐約市運輸部門及公立學校等的入口網站,均暴露出可供匿名存取的資料,涉及3800萬條新冠肺炎個案、疫苗接種登記,以至求職者等個人重要敏感資訊。據報UpGuard已向受影響的企業及政府部門表達關注,微軟亦已回覆稱,已經變更可能成為漏洞所在的預設設定。
支持EJ Tech
如欲投稿、報料,發布新聞稿或採訪通知,按這裏聯絡我們。
