Microsoft Power Apps: 38 Millionen Datensätze frei im Internet zugänglich

Sicherheitsforscher fanden Daten, etwa aus der Kontakt-Nachverfolgung, offen im Netz. Microsoft hat nun auf eine häufige Fehlkonfiguration reagiert.

Artikel veröffentlicht am , Anna Biselli
Microsoft hat auf das weit verbreitete Konfigurationsproblem reagiert.
Microsoft hat auf das weit verbreitete Konfigurationsproblem reagiert. (Bild: geralt/pixabay.com)

Für Datenlecks müssen nicht immer Sicherheitslücken in Software verantwortlich sein. Auch einfache Konfigurationsfehler können dazu führen, dass Millionen von personenbezogenen Daten frei im Internet zugänglich sind. IT-Sicherheitsforscher des Unternehmens Upguard fanden zahlreiche falsch konfigurierte Anwendungen, die mit Microsoft Power Apps erstellt wurden. Durch sie waren laut Upguard 38 Millionen Datensätze ungeschützt.

Stellenmarkt
  1. Produktmanager Big Data (w/m/d) - Driver Assistance & Autonomous Driving
    über experteer GmbH, Karlsruhe
  2. DevOps Engineer / Systems Engineer (m/w/d)
    Nürnberger Baugruppe GmbH + Co KG, Nürnberg (Home-Office)
Detailsuche

Power Apps soll die Anwendungsentwicklung vereinfachen. Die sogenannten Power-Apps-Portale ermöglichen Nutzern etwa, über eine Website auf Anwendungsdaten zuzugreifen. Bei Nutzung der OData-Programmierschnittstelle für den Datenzugriff war bisher die Standardeinstellung, dass sie Daten öffentlich zugänglich macht. Um den Datenzugriff einzuschränken, mussten Entwickler manuell weitere Einstellungen vornehmen. Das ist offenbar in einigen Fällen nicht geschehen.

So fand Upguard unter anderem Daten über Kontakt-Nachverfolgung von Corona-Infektionen aus Indiana, fast 400.000 Datensätze mit Kontaktinformationen von American Airlines sowie Microsoft-eigene Daten aus Portalen im Netz.

"Aufgrund der Funktionsweise der Power-Apps-Portale ist es sehr einfach, sich einen Überblick zu verschaffen. Und wir entdeckten, dass tonnenweise davon zugänglich sind. Es war Wahnsinn", sagte Upguards Vizepräsident für IT-Sicherheitsforschung Greg Pollock dem Computermagazin Wired, das zuerst über den Fund berichtete.

Das Produkt den Nutzern anpassen

Golem Akademie
  1. Microsoft Teams effizient nutzen
    25. Oktober 2021, online
  2. Mobile Device Management mit Microsoft Intune
    22.-23. November 2021, online
  3. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
Weitere IT-Trainings

Die Sicherheitsforscher meldeten Microsoft im Juni, dass sie ein systemisches Problem bei den Power-Apps-Portalen entdeckt hätten. Zunächst bekamen sie jedoch eine Absage, da das erwähnte Verhalten so vorgesehen sei. Später reagierte Microsoft jedoch offenbar und veröffentlichte ein Tool, um die Zugriffsmöglichkeiten für Power-Apps-Portale zu prüfen. In neu erstellten Portalen muss anonymer Zugriff explizit erlaubt werden.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Upguard begrüßt diesen Schritt: "Es ist besser, das Produkt als Reaktion auf das beobachtete Nutzerverhalten zu ändern, als den systemischen Datenverlust als Fehlkonfiguration der Nutzer abzustempeln. Sonst würde das Problem und das Risiko von Datenlecks für die Nutzer weiterbestehen", heißt es auf dem Unternehmensblog.

Dass Fehlkonfigurationen zu Datenlecks führen, passiert regelmäßig - etwa beim US-Online-Vermarkter Bluekai oder bei mehreren Dating-Apps, die Daten in ungesicherten Amazon S3 Buckets ablegten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Microsoft
Das Surface Pro 8 bekommt zum ersten Mal ein neues Design

Das Surface Pro 8 ist da und sieht komplett anders aus. Das reicht von kleineren Displayrändern zu einem dünneren Chassis.

Microsoft: Das Surface Pro 8 bekommt zum ersten Mal ein neues Design
Artikel
  1. Surface Laptop Studio: Microsoft bringt Surface Laptop und Surface Studio zusammen
    Surface Laptop Studio
    Microsoft bringt Surface Laptop und Surface Studio zusammen

    Statt eines neuen Surface Book bringt Microsoft ein völlig neues Gerät heraus. Der Surface Laptop Studio hat ein ungewöhnliches Scharnier.

  2. Malware: Mehrere Kliniken nach Hackerangriff vom Netz genommen
    Malware
    Mehrere Kliniken nach Hackerangriff vom Netz genommen

    Neben den Kliniken seien auch Bildungseinrichtungen von dem Malware-Angriff betroffen. Sicherheitshalber wird nun mit Papier und Stift gearbeitet.

  3. CMOS-Batterie: Firmware-Update hat PS4 offenbar vor ewigem Aus gerettet
    CMOS-Batterie
    Firmware-Update hat PS4 offenbar vor ewigem Aus gerettet

    Sony hat mit Firmware 9.0 für die Playstation 4 ein großes Problem gelöst: eine leere CMOS-Batterie kann die Konsole nicht mehr zerstören.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Black Week bei NBB: Bis 50% Rabatt (u. a. MSI 31,5" Curved WQHD 165Hz 350€) • PS5 Digital + 2. Dualsense + FIFA 22 mit o2-Vertrag bestellbar • Samsung T7 Portable SSD 1TB 105,39€ • Thermaltake Level 20 RS ARGB Tower 99,90€ • Gran Turismo 7 25th Anniv. vorbestellbar 99,99€ [Werbung]
    •  /