微軟PowerApps入口網站預設資料設定，恐使3800萬用戶資料公開於網上

安全廠商UpGuard發現，微軟PowerApps入口網站（portal）平臺的預設資料組態問題，導致超過3800萬用戶接種疫苗或個資公開於網路上，受害者包括福特、美國航空及數個州政府。

PowerApps是微軟力推的低程式碼開發、流程設計等生產力工具。PowerApps 入口網站可讓內部用戶輸入及儲存資訊，且開放外部用戶利用不同的身分識別登入、建立、查詢或瀏覽資料，或是網站上App互動。

但經常揭露雲端平臺漏洞的UpGuard發現它某個預設的存取權限設定，可能導致美國紐約市、印第安那及馬里蘭州等政府及數家大型企業儲存的用戶資料，包括COVID-19疫苗接種或社會安全碼、電子郵件個資曝露於開放網路上。

UpGuard解釋，Power Apps的原理是，Power Apps 內部資料表單（list）中擷取Microsoft Dataverse表格中的資料，再透過API將資料曝露或顯示於Power Apps入口網站上。問題出在PowerApps用來汲取資料的API之一：OData API。開發人員以此API啟動從OData Fee表單（list）撈出資料的OData feed同時，一定要記得在功能選單中啟動「設定表格許可（Table Permission）」，以確保不會有匿名存取，或是非授權用戶存取資料。但這表格存取權限設定在Power Apps表單中是預設關閉的；也就是說，只要用戶忘了變更設定，使用OData API的單位等於資料公開曝露於開放網路上。

研究人員發現了數千個入口網站曝露出可匿名存取的表單 。其中幾個較重大的例子是美國3個州、市政府的入口網站，曝光的資料包括COVID-19案例及疫苗接種、求職者社會安全碼及其他可識別個人身份的資訊（PII）。其他用戶還包括德州登頓郡（Denton County）、美國航空、J.B. Hunt運輸服務公司、福特及微軟。總計曝險的資料涉及3800多萬用戶。

UpGuard除了通知幾個重大案例的用戶外，也在今年6月底聯絡微軟，後者接獲通知後變更了PowerApps入口網站的資料組態預設。