Microsoft Power Apps: 38 Millionen Datensätze frei im Internet zugänglich

Sicherheitsforscher fanden Daten, etwa aus der Kontakt-Nachverfolgung, offen im Netz. Microsoft hat nun auf eine häufige Fehlkonfiguration reagiert.

Artikel veröffentlicht am , Anna Biselli
Microsoft hat auf das weit verbreitete Konfigurationsproblem reagiert.
Microsoft hat auf das weit verbreitete Konfigurationsproblem reagiert. (Bild: geralt/pixabay.com)

Für Datenlecks müssen nicht immer Sicherheitslücken in Software verantwortlich sein. Auch einfache Konfigurationsfehler können dazu führen, dass Millionen von personenbezogenen Daten frei im Internet zugänglich sind. IT-Sicherheitsforscher des Unternehmens Upguard fanden zahlreiche falsch konfigurierte Anwendungen, die mit Microsoft Power Apps erstellt wurden. Durch sie waren laut Upguard 38 Millionen Datensätze ungeschützt.

Power Apps soll die Anwendungsentwicklung vereinfachen. Die sogenannten Power-Apps-Portale ermöglichen Nutzern etwa, über eine Website auf Anwendungsdaten zuzugreifen. Bei Nutzung der OData-Programmierschnittstelle für den Datenzugriff war bisher die Standardeinstellung, dass sie Daten öffentlich zugänglich macht. Um den Datenzugriff einzuschränken, mussten Entwickler manuell weitere Einstellungen vornehmen. Das ist offenbar in einigen Fällen nicht geschehen.

So fand Upguard unter anderem Daten über Kontakt-Nachverfolgung von Corona-Infektionen aus Indiana, fast 400.000 Datensätze mit Kontaktinformationen von American Airlines sowie Microsoft-eigene Daten aus Portalen im Netz.

"Aufgrund der Funktionsweise der Power-Apps-Portale ist es sehr einfach, sich einen Überblick zu verschaffen. Und wir entdeckten, dass tonnenweise davon zugänglich sind. Es war Wahnsinn", sagte Upguards Vizepräsident für IT-Sicherheitsforschung Greg Pollock dem Computermagazin Wired, das zuerst über den Fund berichtete.

Das Produkt den Nutzern anpassen

Die Sicherheitsforscher meldeten Microsoft im Juni, dass sie ein systemisches Problem bei den Power-Apps-Portalen entdeckt hätten. Zunächst bekamen sie jedoch eine Absage, da das erwähnte Verhalten so vorgesehen sei. Später reagierte Microsoft jedoch offenbar und veröffentlichte ein Tool, um die Zugriffsmöglichkeiten für Power-Apps-Portale zu prüfen. In neu erstellten Portalen muss anonymer Zugriff explizit erlaubt werden.

Upguard begrüßt diesen Schritt: "Es ist besser, das Produkt als Reaktion auf das beobachtete Nutzerverhalten zu ändern, als den systemischen Datenverlust als Fehlkonfiguration der Nutzer abzustempeln. Sonst würde das Problem und das Risiko von Datenlecks für die Nutzer weiterbestehen", heißt es auf dem Unternehmensblog.

Dass Fehlkonfigurationen zu Datenlecks führen, passiert regelmäßig - etwa beim US-Online-Vermarkter Bluekai oder bei mehreren Dating-Apps, die Daten in ungesicherten Amazon S3 Buckets ablegten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Updates für GPT-3 und GPT-4
GPT im Geschwindigkeitsrausch

OpenAIs Updates für GPT-4 und GPT-3 machen die Modelle zuverlässiger, vor allem aber anpassungsfähiger. Die Änderungen und neuen Features im Detail.
Von Fabian Deitelhoff

Updates für GPT-3 und GPT-4: GPT im Geschwindigkeitsrausch
Artikel
  1. Candy Crushed: Royal Match wird profitabelstes Mobile Game
    Candy Crushed
    Royal Match wird profitabelstes Mobile Game

    Die langanhaltende Dominanz von Candy Crush Saga ist vorbei. Das meiste Geld verdient jetzt ein Start-up aus Istanbul mit einem Puzzlespiel.

  2. Datenschutz: ChatGPT-Exploit findet E-Mail-Adressen von Times-Reportern
    Datenschutz
    ChatGPT-Exploit findet E-Mail-Adressen von Times-Reportern

    Eigentlich sollte der Chatbot auf diese Anfrage gar nicht antworten. Tut er es dennoch, lauern womöglich noch viel brisantere Informationen.

  3. Donald E. Knuth: 30 Jahre Weihnachtsvorlesungen frei verfügbar
    Donald E. Knuth
    30 Jahre Weihnachtsvorlesungen frei verfügbar

    Ein bisschen theoretische Informatik, Algorithmen oder Mathematik zu Weihnachten? Wer das mag, kann nun sogar alle Vorlesungen hintereinander ansehen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • TeamGroup Cardea Graphene A440 2 TB mit zwei Kühlkörpern 112,89€ • Logitech G915 TKL LIGHTSYNC RGB 125,11€ • AVM FRITZ!Repeater 3000 AX 129€ • Philips Ambilight 77OLED808 2.599€ • MindStar: Patriot Viper VENOM 64 GB DDR5-6000 159€, XFX RX 7900 XT Speedster MERC 310 Black 789€ [Werbung]
    •  /