You are currently at: ejtech.hkej.com
Skip This Ads
Don't Miss

微軟程式開發工具有安全漏洞

By on August 25, 2021

原文刊於信報財經新聞「StartupBeat創科鬥室

Power Apps一些設定或令3800萬條程式用戶資料外洩。(微軟網站圖片)

Power Apps一些設定或令3800萬條程式用戶資料外洩。(微軟網站圖片)

愈來愈多人利用坊間的開發工具,自行開發應用程式,以協助工作或改善公司營運。不過,運用這些開發工具時需要格外留神。據外媒報道,有網絡安全公司發現,微軟旗下的商務應用程式開發工具Power Apps,當中一些預設設定存在安全漏洞,可能導致超過3800萬條程式用戶資料外洩。

Power Apps或洩用戶資料

踢爆相關資安風險的,是網絡安全軟件公司UpGuard。該公司發現,使用Power Apps工具的開發者,在透過應用程式介面(API)將儲存於Microsoft Dataverse表格的資料顯示於Power Apps入口網站(Portal),相關API的「設定表格許可」(Table Permission)是預設關閉的,但UpGuard指出,相關功能應保持啟動,若開發者忘記變更設定,讓相關功能維持關閉,可令資料被匿名或非授權用戶存取。

UpGuard團隊經研究後發現,美國航空、福特汽車等大型跨國企業,以至美國馬里蘭州健康部門、紐約市運輸部門及公立學校等的入口網站,均暴露出可供匿名存取的資料,涉及3800萬條新冠肺炎個案、疫苗接種登記,以至求職者等個人重要敏感資訊。據報UpGuard已向受影響的企業及政府部門表達關注,微軟亦已回覆稱,已經變更可能成為漏洞所在的預設設定。

支持EJ Tech

如欲投稿、報料,發布新聞稿或採訪通知,按這裏聯絡我們