3800萬筆儲存資料意外暴露 微軟：已修正

網路安全公司UpGuard於23日發布報告，稱儲存在微軟服務約3800萬筆記錄（包括個人資訊）意外暴露在網路上。微軟得知相關訊息後已採取行動因應。

據UpGuard的調查結果，上述資料包括姓名、地址、財務資訊、Covid-19疫苗接種狀況等。在問題解決前，這些資料可能遭受攻擊，但尚未外洩。

這起事件共影響47個組織，包括美國航空（American Airlines）、福特汽車（Ford）、亨特運輸服務公司（JB Hunt），以及馬里蘭州衛生部和紐約市大眾運輸系統等公家機構。

這些組織都曾使用微軟旗下的商務應用程式Power Apps，這款應用程式可用於架設網站和行動應用程式，以與大眾互動。

UpGuard表示，該服務預設的軟體設定，意味著受影響組織的資料，在2021年6月前都未受保護。

報告指出，微軟已針對Power Apps入口網站進行更改。

微軟也表示，已通知客戶潛在安全風險的發現時間，以便他們自行解決問題。

UpGuard則認為，相關問題的最佳改善之道是根據客戶使用方式，從源頭改變軟體的運作方式，而非「將資料機密性的系統性損失歸咎於終端用戶設定錯誤，導致問題持續存在。」

Azure雲端服務出現資安漏洞！微軟警告：資料可能被入侵

Microsoft Azure出現資安漏洞，微軟26日發信警告旗下雲端服務客戶，指出外部人士有可能會入侵到主要數據庫當中，竄改或是刪除數據資料，因此建議所有企業及用戶更改存取金鑰。

根據《路透社》報導，相關資安漏洞存在於微軟雲端運算服務Azure的Cosmos DB資料庫當中，網路安全公司Wiz發現他們能夠取得上萬名企業及個人用戶所使用的存取金鑰，進而閱覽或是更改數據庫當中的資料。Wiz公司的首席技術官Ami Luttwak過去曾任職於微軟的雲端安全團隊。

微軟表示，相關漏洞已經立即完成修復，以確保客戶安全受到保護，目前還沒有證據顯示該漏洞遭有心人士利用，除了Wiz公司以外，沒有發現其他外部組織取得數據庫的存取金鑰。

Luttwak表示，這是你能想像到最糟糕的雲端漏洞，尤其這次能夠進入到Azure的核心資料庫，任何用戶的數據都有機會被入侵，其他沒有收到微軟警告通知的用戶也有可能受害。

由於微軟無法擅自更改這些存取金鑰，因此發信建議所有客戶自行建立新的金鑰，微軟也同意向Wiz公司支付4萬美元的獎勵金。