應用程式的設定錯誤可以導致一發不可收拾的後果,有研究人員發現有網上應用程式因為設定錯誤,引致約3800萬條可分辨身份的個人資料完全曝露於網絡,而該應用程式正在使用Microsoft Power Apps平台。
錯誤設定 Power Apps
Microsoft Power Apps平台為讓其他公司能夠在無需大量投資的情況下,進行應用程式和門戶網站,即使沒有IT或編程的經驗,也有機會把概念轉化為真實。平台的簡便並非問題,使用Power Apps的用戶不但缺乏IT經驗,同時也無視資訊安全,製作不安全的工作。研究人員找到47家公司和政府機構使用Power Apps創建工具,用作收集個人資料但沒有妥善地保存。
省去又長又高深的技術解釋,就是Power Apps讓用戶創建分享數據和收集數據的工具,兩個情況的數據都會儲存在表格內,應用程式的製作人可以啟動這些資料的存取許可,預設的情況下許可是被關閉的。一方面這功能讓創作者能易分享,而另一方面這讓表格在公眾地方流傳,這也是即使離開公司仍能存取收集到的資料的原因。
如何保護你或客戶資料外洩
在研究人員匯報外洩事故後,Microsoft改變了平台的預設設定,現在當有人創建新工作收集個人資料,會把資料儲存在外人無法存取的位置,然而任何應用程式或網絡服務在更新之前已經創建,則外洩風險仍然存在。如果閣下的公司正使用Micosoft Power Apps,便應該立即檢查所有設定選項,避免資料外洩,尤其有收集可辨別身份的個人資料。
然而當中的問題可能牽涉更廣,Power Apps除了被缺乏IT經驗的人用來創建服務、應用程式和網站,這些功具很多時也被公司用來進行內部工作,而保安部門完全不知情。此外,他們可能含有來源碼漏洞、與其他工作流程合作時產生錯誤,又或者如這個個案一樣,設定錯誤。
因此我們建議公司使用這類low-code平台時進行以下動作:
- 小心檢查安全和私隱設定,無論是已公開或未公開的應用程式。
- 教導資安部門有關營運流程上使用有關平台
- 聘請外部專家(又或內部專才)進行保安評估
資料來源:Kaspersky Blog