Microsoft Power Apps: 38 Millionen Datensätze frei im Internet zugänglich
Sicherheitsforscher fanden Daten, etwa aus der Kontakt-Nachverfolgung, offen im Netz. Microsoft hat nun auf eine häufige Fehlkonfiguration reagiert.

Für Datenlecks müssen nicht immer Sicherheitslücken in Software verantwortlich sein. Auch einfache Konfigurationsfehler können dazu führen, dass Millionen von personenbezogenen Daten frei im Internet zugänglich sind. IT-Sicherheitsforscher des Unternehmens Upguard fanden zahlreiche falsch konfigurierte Anwendungen, die mit Microsoft Power Apps erstellt wurden. Durch sie waren laut Upguard 38 Millionen Datensätze ungeschützt.
Power Apps soll die Anwendungsentwicklung vereinfachen. Die sogenannten Power-Apps-Portale ermöglichen Nutzern etwa, über eine Website auf Anwendungsdaten zuzugreifen. Bei Nutzung der OData-Programmierschnittstelle für den Datenzugriff war bisher die Standardeinstellung, dass sie Daten öffentlich zugänglich macht. Um den Datenzugriff einzuschränken, mussten Entwickler manuell weitere Einstellungen vornehmen. Das ist offenbar in einigen Fällen nicht geschehen.
So fand Upguard unter anderem Daten über Kontakt-Nachverfolgung von Corona-Infektionen aus Indiana, fast 400.000 Datensätze mit Kontaktinformationen von American Airlines sowie Microsoft-eigene Daten aus Portalen im Netz.
"Aufgrund der Funktionsweise der Power-Apps-Portale ist es sehr einfach, sich einen Überblick zu verschaffen. Und wir entdeckten, dass tonnenweise davon zugänglich sind. Es war Wahnsinn", sagte Upguards Vizepräsident für IT-Sicherheitsforschung Greg Pollock dem Computermagazin Wired, das zuerst über den Fund berichtete.
Das Produkt den Nutzern anpassen
Die Sicherheitsforscher meldeten Microsoft im Juni, dass sie ein systemisches Problem bei den Power-Apps-Portalen entdeckt hätten. Zunächst bekamen sie jedoch eine Absage, da das erwähnte Verhalten so vorgesehen sei. Später reagierte Microsoft jedoch offenbar und veröffentlichte ein Tool, um die Zugriffsmöglichkeiten für Power-Apps-Portale zu prüfen. In neu erstellten Portalen muss anonymer Zugriff explizit erlaubt werden.
Upguard begrüßt diesen Schritt: "Es ist besser, das Produkt als Reaktion auf das beobachtete Nutzerverhalten zu ändern, als den systemischen Datenverlust als Fehlkonfiguration der Nutzer abzustempeln. Sonst würde das Problem und das Risiko von Datenlecks für die Nutzer weiterbestehen", heißt es auf dem Unternehmensblog.
Dass Fehlkonfigurationen zu Datenlecks führen, passiert regelmäßig - etwa beim US-Online-Vermarkter Bluekai oder bei mehreren Dating-Apps, die Daten in ungesicherten Amazon S3 Buckets ablegten.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Nur das sich das Produkt gerade ein Personen richtet, die keine Experten sind. Gerade...