3800 万患者记录在重大数据泄露后上线

微软 OpenAI Power Apps 门户中的一个主要安全漏洞已经影响了数百个应用程序，迄今为止公开了大约 3800 万条记录。后者范围从Covid-19 疫苗接种证书到个人数据，包括就业状况、电话和地址号码、社会安全号码等。受害者在学校和医院等多个行业和公共机构的小型和大型企业工作。

数月以来一直处于休眠状态的问题？

自 2021 年 5 月以来，与 Power Apps 平台相关的安全问题似乎一直在发生。微软的 Power Apps 门户上提供的大部分应用程序并没有将用户数据保密，而是让任何感兴趣的第三方广泛使用。出现此类漏洞的原因与 Power Apps 平台提供的应用程序编程接口 (API) 相关，可帮助软件开发人员自行构建移动和 Web 应用程序。理论上，API 应该允许开发人员收集他们需要的数据，而无需在其他地方共享。虽然他们确实收集了记录，但这些 API 并没有将它们保密。此外，他们默认将它们设为公开，因为这似乎是它们最初的配置方式。因此，开发人员必须进行手动调整，以防止 Microsoft 的 Power Apps API 暴露他们本应保密的数据。

补丁呢？

微软的安全专家最初不愿解决这个问题，后来敦促他们的客户"在以最能满足其隐私需求的方式配置产品时使用最佳实践。"此外，Power Apps 平台上的所有可用 API 都应默认将数据保密，而无需需要代表客户进行任何额外的操作。Microsoft 推出了独特的 Portal Checker 诊断工具来帮助客户识别他们的自定义 API 设置，从而做出了更大的努力。

暴露的数据细分

公开的记录在主题方面有所不同。其中一些与美国航空公司的员工有关，而另一些则指向纽约市的学校。大约 30 万个电子邮件地址和 4 万份混合现实档案也可能落入坏人之手。