3800 萬患者記錄在重大數據洩露後上線

微軟 OpenAI Power Apps 門戶中的一個主要安全漏洞已經影響了數百個應用程序，迄今為止公開了大約 3800 萬條記錄。後者範圍從Covid-19 疫苗接種證書到個人數據，包括就業狀況、電話和地址號碼、社會安全號碼等。受害者在學校和醫院等多個行業和公共機構的小型和大型企業工作。

數月以來一直處於休眠狀態的問題？

自 2021 年 5 月以來，與 Power Apps 平台相關的安全問題似乎一直在發生。微軟的 Power Apps 門戶上提供的大部分應用程序並沒有將用戶數據保密，而是讓任何感興趣的第三方廣泛使用。出現此類漏洞的原因與 Power Apps 平台提供的應用程序編程接口 (API) 相關，可幫助軟件開發人員自行構建移動和 Web 應用程序。理論上，API 應該允許開發人員收集他們需要的數據，而無需在其他地方共享。雖然他們確實收集了記錄，但這些 API 並沒有將它們保密。此外，他們默認將它們設為公開，因為這似乎是它們最初的配置方式。因此，開發人員必須進行手動調整，以防止 Microsoft 的 Power Apps API 暴露他們本應保密的數據。

補丁呢？

微軟的安全專家最初不願解決這個問題，後來敦促他們的客戶"在以最能滿足其隱私需求的方式配置產品時使用最佳實踐。"此外，Power Apps 平台上的所有可用 API 都應默認將數據保密，而無需需要代表客戶進行任何額外的操作。Microsoft 推出了獨特的 Portal Checker 診斷工具來幫助客戶識別他們的自定義 API 設置，從而做出了更大的努力。

暴露的數據細分

公開的記錄在主題方面有所不同。其中一些與美國航空公司的員工有關，而另一些則指向紐約市的學校。大約 30 萬個電子郵件地址和 4 萬份混合現實檔案也可能落入壞人之手。