微软PowerApps入口网站预设资料设定，恐使3800万用户资料公开于网上

安全厂商UpGuard发现，微软PowerApps入口网站（portal）平台的预设资料组态问题，导致超过3800万用户接种疫苗或个资公开于网络上，受害者包括福特、美国航空及数个州-。

PowerApps是微软力推的低程式码开发、流程设计等生产力工具。PowerApps 入口网站可让内部用户输入及储存资讯，且开放外部用户利用不同的身份识别登入、建立、查询或浏览资料，或是网站上App互动。

但经常揭露云端平台漏洞的UpGuard发现它某个预设的存取权限设定，可能导致美国纽约市、印第安那及马里兰州等-及数家大型企业储存的用户资料，包括COVID-19疫苗接种或社会安全码、电子邮件个资曝露于开放网络上。

UpGuard解释，Power Apps的原理是，Power Apps 内部资料表单（list）中撷取Microsoft Dataverse表格中的资料，再透过API将资料曝露或显示于Power Apps入口网站上。问题出在PowerApps用来汲取资料的API之一：OData API。开发人员以此API启动从OData Fee表单（list）捞出资料的OData feed同时，一定要记得在功能选单中启动“设定表格许可（Table Permission）”，以确保不会有匿名存取，或是非授权用户存取资料。但这表格存取权限设定在Power Apps表单中是预设关闭的；也就是说，只要用户忘了变更设定，使用OData API的单位等于资料公开曝露于开放网络上。

研究人员发现了数千个入口网站曝露出可匿名存取的表单 。其中几个较重大的例子是美国3个州、市-的入口网站，曝光的资料包括COVID-19案例及疫苗接种、求职者社会安全码及其他可识别个人身份的资讯（PII）。其他用户还包括德州登顿郡（Denton County）、美国航空、J.B. Hunt运输服务公司、福特及微软。总计曝险的资料涉及3800多万用户。

UpGuard除了通知几个重大案例的用户外，也在今年6月底联络微软，后者接获通知后变更了PowerApps入口网站的资料组态预设。