3800万记录曝露，微软称配置不当

近日，据美国网络信息安全公司UpGuard称，约有3800万条个人隐私信息暴露在互联网上，这些信息来自47家企业，且全部都储存在微软。

这些数据包括来自新冠追踪平台的数据、疫苗接种数据、求职申请数据和员工数据。这些数据包含很多敏感信息，从人们的电话号码到家庭住址甚至到如行踪等私密信息。

这一事件影响主要公司包括美国航空公司、福特公司、运输和物流公司J.B亨特、美国马里兰州卫生部、纽约市交通管理局和纽约市公立学校。虽然微软在UpGuard发布消息后立即采取了行动，修复了数据曝光的问题，但是目前无法完全肯定，没有发生数据泄露。

原因在于，这部分数据已经在互联网上曝光了长达数月的时间，势必会对企业和用户产生一定的影响。

根据UpGuard公司的调查结果显示，数据曝光的源头是微软的Power Apps，这是一种低代码解决方案，微软称它可以让团队利用预制模板、拖放的简易性和快速部署立即构建和启动应用程序。

早在2021年五月，UpGuard公司就发现，Power Apps存在隐私数据不受保护的情况出现，很多使用了Power Apps的企业有大量的隐私数据被公开。

进一步调查发现，这些数据泄露的源头是，Power Apps的默认设置选项导致的。比如启用隐私设置原本应该是一个手动过程，但是当企业启用这些 API 时，平台默认使相应的数据可以公开访问。

因此，Microsoft不认为导致泄漏数据原因是程序漏洞，而是一个可以改进的配置问题。微软发言人对此表示，“微软将认真对待安全和隐私问题，但最佳做法是鼓励客户在以最符合他们隐私需求的方式配置产品。“

此举无疑有甩挂的嫌疑。

但UpGuard也认为，微软要在源头上改变Power Appps的隐私保护功能，而不是 "将数据的系统性错误怪责为最终用户的错误配置，并让问题持续存在。"

附主要的企业数据泄露情况

美洲航空公司：包含398,890条“联系人”记录的集合，其中包括全名、职位、电话号码和电子邮件地址；第二个“测试”数据集包括470,400条记录，其中包括全名、职位、电话号码和电子邮件地址。

德克萨斯州丹顿县：共有632,171条记录泄露，包括疫苗接种类型、预约日期和时间、员工ID、全名、电子邮件地址、电话号码和出生日期。研究人员写道：“列表 'contactVaccinationSet' 有400,091条记录，包含全名和疫苗接种类型，而 'contactset'有253,844条记录，包含全名和电子邮件地址。”

JB Hunt运输服务：这家运输物流公司公开了905,228条记录，其中包括客户全名、电子邮件地址、实际地址和电话号码。超过25万的记录还包括美国社会安全号码。

微软全球薪资服务门户：研究人员发现了332,000份微软员工和承包商的记录，包括他们的@microsoft.com电子邮件地址、全名和电话号码，这些记录仅供个人使用。