Microsoft Power Pages 配置错误导致全球数百万条记录泄露

SaaS 安全公司 AppOmni 发现 Microsoft Power Pages 中的配置错误可能会导致严重的数据泄露。

了解暴露敏感信息的常见问题以及如何保护 SaaS 应用程序中的数据。

SaaS 安全公司 AppOmni 最近发现，Microsoft Power Pages存在安全漏洞，这是一个每月有超过 2.5 亿人使用的低代码平台。

AppOmni 的 SaaS 安全研究主管 Aaron Costello 在与 Hackread.com 分享的一份报告中解释说，这个问题导致公共和私营部门各个组织的数百万条敏感数据记录被曝光，“涉及金融服务、医疗保健、汽车等行业”。

据研究人员称，其中包括英国国家医疗服务体系 (NHS)，其泄露了超过 110 万 NHS 员工的信息，包括电子邮件地址、电话号码和家庭住址。

这些数据泄露的根本原因在于 Power Pages 中用于开发 Dataverse 集成应用程序（如 Web 门户）的访问控制配置错误。然而，其可定制特性可能会将敏感数据暴露给公众。 

这是怎么发生的？

Power Pages 是一款用于构建自定义网站的强大工具，它采用分层方法进行访问控制。这包括站点级、表级和列级权限。但是，当组织错误配置这些设置时，他们会无意中将敏感数据暴露给公共互联网。 

组织可以通过向 Web API 公开比必要更多的列来增加潜在的攻击面。AppOmni在博客文章Webapi/<object>/fields中解释说，通过将值设置为 * 可以允许访问表内的所有列，从而使敏感信息容易受到攻击。

启用开放注册和外部身份验证可能会允许未经授权的用户访问敏感数据。这是因为，在部署时，网站默认会自动允许自我注册和登录，尽管这些页面可能在平台上不可见。

用户可以通过 API 注册和身份验证，其中“经过身份验证的用户”比“匿名用户”拥有更多权限。

另一个常见错误是向匿名用户授予全局访问权限，允许任何人查看并可能利用敏感信息。即使正确配置了表级权限，如果未能实现列安全性，也会导致敏感列容易受到攻击。

最后，不使用数据屏蔽技术可能会以纯文本形式暴露 PII 等敏感信息。

“这些曝光意义重大——Microsoft Power Pages 每月有超过 2.5 亿用户使用，以及行业领先的组织和政府实体，涉及金融服务、医疗保健、汽车等领域，”Aaron 说。

“显然，组织在管理面向外部的网站时需要优先考虑安全性，并在 SaaS 平台中平衡易用性和安全性——这些应用程序目前保存着大量机密的公司数据，攻击者将其作为进入企业网络的途径。”

正如 NHS 数据泄露事件所示，这些错误配置的后果可能非常严重。通过泄露敏感信息，组织可能会损害其声誉、面临法律后果，并可能使其系统遭受进一步攻击。 

此漏洞还表明，SaaS 应用程序中访问控制管理不善会带来风险，尤其是在处理敏感数据时。组织应采取适当的安全措施来管理 SaaS 平台的安全性，因为如今 SaaS 平台保存着大量机密的公司数据。 

此外，定期审核访问控制、限制对敏感数据的访问、实施强大的身份验证和授权机制以及及时了解新出现的安全威胁和漏洞，可以显著降低数据泄露的风险并保护敏感信息。

原文始发于微信公众号（网络研究观）：Microsoft Power Pages 配置错误导致全球数百万条记录泄露