來自AppOmni的研究人員發現,使用微軟Power Pages構建的網站存在一個配置錯誤的漏洞。結果,數百萬人的數據在網上洩露,英國國民健康服務(NHS)是受影響的公司之一,其他公司則被敦促立即進行調查。私營和公共部門的企業因微軟網站建設平台的故障而洩露了數百萬人的個人識別信息(PII)。
來自AppOmni的專家透露,這次洩露源於微軟Power Pages中的配置錯誤,這是一個低代碼平台,屬於微軟Power Platform套件,允許用戶在不需要成為專業編碼員的情況下構建網站。然而,由於訪問控制配置不當——即授予匿名角色過多的權限——許多網站洩露了“大量數據”。這些信息包括全名、電子郵件地址、電話號碼和家庭地址。
NHS是受影響者之一,微軟Power Pages特別針對需要與來自微軟Dataverse等來源的業務數據集成的商業用戶和開發人員,顯然擁有超過2.5億的每月用戶。“在我的研究中,我發現數百萬條敏感數據記錄僅因授權測試而暴露於公眾互聯網上,”該研究人員表示,這表明洩露可能更大(因為這是從“授權測試單獨發現的”)。這些數據的主要性質是內部組織文件和屬於內部組織用戶及其他在網站上註冊用戶的敏感PII。
受洩露影響的還包括英國國民健康服務(NHS),據稱洩露了超過110萬名員工的敏感信息。這家醫療巨頭已經修補了漏洞。研究人員不願意透露其他洩露數據的組織名稱,可能是因為這些漏洞尚未被修補。
配置不當的數據庫是數據洩露的主要原因之一。多年來,許多組織在沒有即使是弱密碼的情況下,保留大量敏感客戶文件的情況屢見不鮮,更不用說強密碼了。
