Business Security

Microsoft Power Apps: 38 Millionen Datensätze lagen in Portalen offen

Sicherheitsforscher haben in Power-Apps-Portalen 38 Millionen Datensätze mit teils sensiblen Daten entdeckt – laut Microsoft aufgrund von Konfigurationsfehlern

Im Rahmen einer Untersuchung haben Forscher des US-Security-Unternehmens UpGuard Ende Mai 2021 in einem mit Microsofts Low-Code-Angebot Power Apps erstellten Portal eine Liste mit sensiblen Daten gefunden.

Daraufhin nahmen sie weitere Portale in Sachen Datensicherheit unter die Lupe: Dabei stießen sie in 47 Fällen auf teilweise umfangreiche und per OData-API (Open Data Protocol) frei zugängliche Listen mit teilweise personenbezogenen Daten, wie Kontaktdaten, Sozialversicherungsnummern oder Impfstatus. Betroffen waren sowohl Regierungsstellen als auch große Unternehmen, insgesamt sollen so 38 Millionen Datensätze zugänglich gewesen sein.

Nach dem Einreichen eines Vulnerabiliy-Reports prüfte Microsoft und erklärte: Ursache sei ein Fehler in der Konfiguration der Zugriffsteuerung. Dies sei kein Fehler und entspreche dem erwarteten Verhalten. Die Standardeinstellung für Power Apps Portale lautet "expose record for display on portals", weshalb man die zugrundeliegenden Tabellen mit einem Zugriffsschutz versehen muss. Die Dokumentation zu Power Apps Portalen warne explizit vor der Gefahr, OData-Feeds ohne Zugriffsschutz für die Tabellen zu aktivieren.

Das ist aber insofern problematisch, als Power-App-Nutzer in der Regel keine in Sachen Sicherheit geschulten Entwickler sind, sondern – so bewirbt Microsoft sein Low-Code-Produkt explizit – keine großen Voraussetzungen zum Erstellen von Portalen mitbringen müssen. Auch die zuständigen Stellen in den betroffenen Unternehmen räumten ein, dass sie dieses potenzielle Datenleck bislang nicht auf der Agenda hatten. UpGuard hofft, mit der Veröffentlichung der Vorgänge diesbezüglich mehr Sensibilität zu schaffen.

Inzwischen scheint Microsoft sich eines Besseren besonnen zu haben und hat einerseits den Warnhinweis in der Dokumentation deutlicher markiert und zum anderen die Default-Einstellung für neue Portale dahingehend geändert, dass Tabellen standardmäßig mit einem Zugriffsschutz versehen sind und Power-Apps-Nutzer die externe Freigabe explizit einrichten müssen.

Quelle: heise online Redaktion

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben