近来，SaaS 安全公司 AppOmni 发布了一份报告，揭示了微软 Power Pages 中的一项安全漏洞，该平台每月吸引超过 2.5 亿用户。这一问题已经导致包括财务、医疗和汽车等多个领域的组织在内的数百万条敏感数据记录遭到泄露，甚至连英国国家健康服务（NHS）的 110 万名员工的信息，包括电子邮件地址、电话号码和家庭住址也被迫公开。

这一数据泄漏的根本原因在于 Power Pages 中访问控制的错误配置，尤其是在开发与 Dataverse 集成的应用程序（如 Web 门户）时。这种定制化的特性在带来便利的同时，也使敏感数据易于暴露于公共互联网。

Power Pages 作为一个构建自定义网站的强大工具，采用了分层的访问控制策略。其包括网站级、表级和列级的权限管理。然而，当组织错误地配置这些设置时，敏感数据便可能毫无防备地暴露给无权限的用户。研究人员指出，许多组织在 Web API 中暴露了过多的列，允许不必要的访问，设置 Webapi object fields 为 * 将便使整个数据表的所有列都对公共开放，从而使敏感信息变得脆弱。

与此同时，启用开放注册和外部身份验证可能会使未授权用户获得敏感数据的访问权，因为在网站部署后，系统默认允许自助注册和登录，尽管这些页面可能在平台上并不直接可见。用户通过 API 注册并身份验证后，具有“已认证用户”身份的用户将获得比“匿名用户”更多的权限。

另一种常见的错误是向匿名用户授予全球访问权限，允许任何人查看和潜在利用敏感信息。如果未实施列安全，即使表级权限配置正确，敏感列仍可能面临暴露的风险。最后，未使用数据加密技术也使得个人身份信息 (PII) 在不加掩码的情况下暴露在公共视野中。

AppOmni 的安全研究负责人 Aaron Costello 表示，涉及的泄露案例非常严重。“微软 Power Pages 每月有超过 2.5 亿的用户，以及众多行业领先的组织和政府机构，全都在使用这个平台，”他说。“很明显，组织在管理面向外部的网站时需要优先考虑安全性，并在 SaaS 平台上平衡使用便捷性与安全性。”

一旦敏感信息被暴露，组织的声誉将遭到严重损害，面临法律后果，并可能使系统面临进一步的攻击。

这一漏洞清楚地表明了在处理敏感数据时，错误管理访问控制的风险。组织应该实施适当的安全措施，以有效管理 SaaS 平台的安全性，这些平台如今存储着大量机密的企业数据。

定期审计访问控制，限制对敏感数据的访问，实施强有力的身份验证和授权机制，并及时了解新兴的安全威胁及漏洞，这些措施都能显著降低数据泄露的风险并保护敏感信息的安全。

根据欧盟能源安全局（EUSEG）和国际刑警（Interpol）的统计数据，仅在过去一年中，全球因错误配置导致的数据泄露事件便高达数千起，损失金额无法估量。显然，这一领域亟需加强信息与技术安全的培训，尤其是在日益频繁的针对 SaaS 应用的网络攻击中，确保员工知晓潜在的安全隐患和防护措施显得至关重要。

从这一事件中我们再次认识到，网络安全不仅是 IT 部门的责任，而是需要全公司上下共同努力、协同配合。企业应在科技更新和业务拓展的同时，确保在结构上建立良好的安全基础，以应对未来潜在的网络安全风险。

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)