Microsoft Power Apps: 38 Millionen Datensätze frei im Internet zugänglich

Sicherheitsforscher fanden Daten, etwa aus der Kontakt-Nachverfolgung, offen im Netz. Microsoft hat nun auf eine häufige Fehlkonfiguration reagiert.

Artikel veröffentlicht am , Anna Biselli
Microsoft hat auf das weit verbreitete Konfigurationsproblem reagiert.
Microsoft hat auf das weit verbreitete Konfigurationsproblem reagiert. (Bild: geralt/pixabay.com)

Für Datenlecks müssen nicht immer Sicherheitslücken in Software verantwortlich sein. Auch einfache Konfigurationsfehler können dazu führen, dass Millionen von personenbezogenen Daten frei im Internet zugänglich sind. IT-Sicherheitsforscher des Unternehmens Upguard fanden zahlreiche falsch konfigurierte Anwendungen, die mit Microsoft Power Apps erstellt wurden. Durch sie waren laut Upguard 38 Millionen Datensätze ungeschützt.

Stellenmarkt
  1. IT-Lizenzmanager (m/w/d)
    ALDI International Services SE & Co. oHG, Mülheim
  2. Senior Software Developer (m/w/d)
    Allianz Technology SE, Stuttgart
Detailsuche

Power Apps soll die Anwendungsentwicklung vereinfachen. Die sogenannten Power-Apps-Portale ermöglichen Nutzern etwa, über eine Website auf Anwendungsdaten zuzugreifen. Bei Nutzung der OData-Programmierschnittstelle für den Datenzugriff war bisher die Standardeinstellung, dass sie Daten öffentlich zugänglich macht. Um den Datenzugriff einzuschränken, mussten Entwickler manuell weitere Einstellungen vornehmen. Das ist offenbar in einigen Fällen nicht geschehen.

So fand Upguard unter anderem Daten über Kontakt-Nachverfolgung von Corona-Infektionen aus Indiana, fast 400.000 Datensätze mit Kontaktinformationen von American Airlines sowie Microsoft-eigene Daten aus Portalen im Netz.

"Aufgrund der Funktionsweise der Power-Apps-Portale ist es sehr einfach, sich einen Überblick zu verschaffen. Und wir entdeckten, dass tonnenweise davon zugänglich sind. Es war Wahnsinn", sagte Upguards Vizepräsident für IT-Sicherheitsforschung Greg Pollock dem Computermagazin Wired, das zuerst über den Fund berichtete.

Das Produkt den Nutzern anpassen

Golem Karrierewelt
  1. Cloud Competence Center: Strategien, Roadmap, Governance: virtueller Ein-Tages-Workshop
    06.10.2022, Virtuell
  2. Blender Grundkurs: virtueller Drei-Tage-Workshop
    06.-08.09.2022, Virtuell
Weitere IT-Trainings

Die Sicherheitsforscher meldeten Microsoft im Juni, dass sie ein systemisches Problem bei den Power-Apps-Portalen entdeckt hätten. Zunächst bekamen sie jedoch eine Absage, da das erwähnte Verhalten so vorgesehen sei. Später reagierte Microsoft jedoch offenbar und veröffentlichte ein Tool, um die Zugriffsmöglichkeiten für Power-Apps-Portale zu prüfen. In neu erstellten Portalen muss anonymer Zugriff explizit erlaubt werden.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Upguard begrüßt diesen Schritt: "Es ist besser, das Produkt als Reaktion auf das beobachtete Nutzerverhalten zu ändern, als den systemischen Datenverlust als Fehlkonfiguration der Nutzer abzustempeln. Sonst würde das Problem und das Risiko von Datenlecks für die Nutzer weiterbestehen", heißt es auf dem Unternehmensblog.

Dass Fehlkonfigurationen zu Datenlecks führen, passiert regelmäßig - etwa beim US-Online-Vermarkter Bluekai oder bei mehreren Dating-Apps, die Daten in ungesicherten Amazon S3 Buckets ablegten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Krieg der Steine
Kopierte Lego-Mini-Figuren dürfen nicht verkauft werden

Lego hat einen Rechtsstreit um Mini-Figuren gegen einen Spielwarenhändler gewonnen, der Figuren aus China verkauft hat.

Krieg der Steine: Kopierte Lego-Mini-Figuren dürfen nicht verkauft werden
Artikel
  1. Nachhaltigkeit: Thüringens Reparaturbonus weiter stark nachgefragt
    Nachhaltigkeit
    Thüringens Reparaturbonus weiter stark nachgefragt

    Der Reparaturbonus wird in Thüringen weiter gut genutzt. Eine Stärkung der Gerätereparatur in ganz Deutschland wird noch geprüft.

  2. Web Components mit StencilJS: Mehr Klarheit im Frontend
    Web Components mit StencilJS
    Mehr Klarheit im Frontend

    Je mehr UI/UX in Anwendungen vorkommt, desto mehr Unordnung gibt es im Frontend. StencilJS zeigt, wie man verschiedene Frameworks mit Web Components zusammenbringt.
    Eine Anleitung von Martin Reinhardt

  3. Smartphones: Xiaomis neues Foldable ist wesentlich günstiger
    Smartphones
    Xiaomis neues Foldable ist wesentlich günstiger

    Das Xiaomi Mix Fold 2 ähnelt dem Samsung Galaxy Fold 4. Es ist ähnlich gut ausgestattet, kostet aber wesentlich weniger Geld.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • LG 38WN95C-W (UWQHD+, 144 Hz) 933,35€ • Sharkoon Light² 180 22,99€ • HyperX Cloud Flight 44€ • BenQ Mobiuz EX3410R 499€ • MindStar (u. a. AMD Ryzen 5 5600X 169€, Intel Core i5-12400F 179€ und XFX RX 6800 XT 699€) • Weekend Sale bei Alternate (u. a. AKRacing Master PRO 353,99€) [Werbung]
    •  /