Microsoft Power Apps: 38 Millionen Datensätze frei im Internet zugänglich

Sicherheitsforscher fanden Daten, etwa aus der Kontakt-Nachverfolgung, offen im Netz. Microsoft hat nun auf eine häufige Fehlkonfiguration reagiert.

Artikel veröffentlicht am , Anna Biselli
Microsoft hat auf das weit verbreitete Konfigurationsproblem reagiert.
Microsoft hat auf das weit verbreitete Konfigurationsproblem reagiert. (Bild: geralt/pixabay.com)

Für Datenlecks müssen nicht immer Sicherheitslücken in Software verantwortlich sein. Auch einfache Konfigurationsfehler können dazu führen, dass Millionen von personenbezogenen Daten frei im Internet zugänglich sind. IT-Sicherheitsforscher des Unternehmens Upguard fanden zahlreiche falsch konfigurierte Anwendungen, die mit Microsoft Power Apps erstellt wurden. Durch sie waren laut Upguard 38 Millionen Datensätze ungeschützt.

Stellenmarkt
  1. IT-Systemkauffrau / -kaufmann m/w/d
    Stockmeier Holding GmbH, Bielefeld
  2. Teamleiter MS Dynamics - Facility Management m/w/d
    Schwarz IT KG, Raum Neckarsulm
Detailsuche

Power Apps soll die Anwendungsentwicklung vereinfachen. Die sogenannten Power-Apps-Portale ermöglichen Nutzern etwa, über eine Website auf Anwendungsdaten zuzugreifen. Bei Nutzung der OData-Programmierschnittstelle für den Datenzugriff war bisher die Standardeinstellung, dass sie Daten öffentlich zugänglich macht. Um den Datenzugriff einzuschränken, mussten Entwickler manuell weitere Einstellungen vornehmen. Das ist offenbar in einigen Fällen nicht geschehen.

So fand Upguard unter anderem Daten über Kontakt-Nachverfolgung von Corona-Infektionen aus Indiana, fast 400.000 Datensätze mit Kontaktinformationen von American Airlines sowie Microsoft-eigene Daten aus Portalen im Netz.

"Aufgrund der Funktionsweise der Power-Apps-Portale ist es sehr einfach, sich einen Überblick zu verschaffen. Und wir entdeckten, dass tonnenweise davon zugänglich sind. Es war Wahnsinn", sagte Upguards Vizepräsident für IT-Sicherheitsforschung Greg Pollock dem Computermagazin Wired, das zuerst über den Fund berichtete.

Das Produkt den Nutzern anpassen

Golem Karrierewelt
  1. Apache Kafka Grundlagen: virtueller Zwei-Tage-Workshop
    22./23.11.2022, Virtuell
  2. Container Technologie: Docker und Kubernetes - Theorie und Praxis: virtueller Drei-Tage-Workshop
    14.-16.12.2022, virtuell
Weitere IT-Trainings

Die Sicherheitsforscher meldeten Microsoft im Juni, dass sie ein systemisches Problem bei den Power-Apps-Portalen entdeckt hätten. Zunächst bekamen sie jedoch eine Absage, da das erwähnte Verhalten so vorgesehen sei. Später reagierte Microsoft jedoch offenbar und veröffentlichte ein Tool, um die Zugriffsmöglichkeiten für Power-Apps-Portale zu prüfen. In neu erstellten Portalen muss anonymer Zugriff explizit erlaubt werden.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Upguard begrüßt diesen Schritt: "Es ist besser, das Produkt als Reaktion auf das beobachtete Nutzerverhalten zu ändern, als den systemischen Datenverlust als Fehlkonfiguration der Nutzer abzustempeln. Sonst würde das Problem und das Risiko von Datenlecks für die Nutzer weiterbestehen", heißt es auf dem Unternehmensblog.

Dass Fehlkonfigurationen zu Datenlecks führen, passiert regelmäßig - etwa beim US-Online-Vermarkter Bluekai oder bei mehreren Dating-Apps, die Daten in ungesicherten Amazon S3 Buckets ablegten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Die große Umfrage
Das sind Deutschlands beste IT-Arbeitgeber 2023

Golem.de und Statista haben 23.000 Fachkräfte nach ihrer Arbeit gefragt. Das Ergebnis ist eine Liste der 175 besten Unternehmen für IT-Profis.

Die große Umfrage: Das sind Deutschlands beste IT-Arbeitgeber 2023
Artikel
  1. Monitoring von Container-Landschaften: Prometheus ist nicht alles
    Monitoring von Container-Landschaften
    Prometheus ist nicht alles

    Betreuer von Kubernetes und Co., die sich nicht ausreichend mit der Thematik beschäftigen, nehmen beim metrikbasierte Monitoring unwissentlich einige Nachteile in Kauf. Eventuell ist es notwendig, den üblichen Tool-Stack zu ergänzen.
    Von Valentin Höbel

  2. Philips Hue mit über 100 Euro Rabatt bei Amazon
     
    Philips Hue mit über 100 Euro Rabatt bei Amazon

    Viele verschiedene Produkte von Philips Hue sind bei Amazon im Angebot. Darunter Deckenleuchten, Leuchtmittel und Bewegungssensoren.
    Ausgewählte Angebote des E-Commerce-Teams

  3. Smartphone: Xiaomi 12T Pro mit 200-Megapixel-Kamera kostet 800 Euro
    Smartphone
    Xiaomi 12T Pro mit 200-Megapixel-Kamera kostet 800 Euro

    Xiaomis neues Oberklasse-Smartphone hat eine hochauflösende Kamera und Qualcomms stärkstes SoC. Außerdem gibt es ein neues Wearable und Tablet.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • 3 Spiele für 49€ • Saturn Gutscheinheft • Günstig wie nie: LG OLED 48" 799€, Xbox Elite Controller 2 114,99€, AOC 28" 4K UHD 144 Hz 600,89€, Corsair RGB Midi-Tower 269,90€, Sandisk microSDXC 512GB 39€ • Bis zu 15% im eBay Restore • MindStar (PowerColor RX 6700 XT 489€) [Werbung]
    •  /