Categories: Software

Falsch konfigurierte Microsoft Power Apps geben 38 Millionen Datensätze preis

Der Sicherheitsanbieter Upguard hat herausgefunden, dass Microsoft Power Apps unter Umständen aufgrund einer Voreinstellung vertrauliche Daten preisgeben. Die Forscher von Upguard fanden unter anderem Sozialversicherungsnummern, E-Mail-Adressen und COVID-19-Impstatus. Insgesamt sollen 38 Millionen Datensätze öffentlich zugänglich gewesen sein.

Microsoft Power Apps erlauben die Entwicklung von Low-Code-Anwendungen sowie öffentlicher und interner Websites. Die Schwachstelle wiederum steckt in der Konfiguration einer OData genannten Programmierschnittstelle. Sie kann benutzt werden, um Daten öffentlich zugänglich zu machen, entweder “anonym oder über eine kommerzielle Authentifizierung”.

Allerdings ist die Programmierschnittstelle ab Werk so konfiguriert, dass sie einen Zugriff auf Daten erlaubt. Microsoft weist auf diesen Umstand auch mit einem Warnung hin: “Seien Sie vorsichtig, wenn Sie OData Feed ohne Tabellenberechtigungen für vertrauliche Informationen aktivieren. Auf den OData Feed kann anonym und ohne Berechtigungsprüfungen zugegriffen werden, falls ‘Tabellenberechtigungen aktivieren’ deaktiviert ist.”

Von dem Problem betroffen sind Apps und Websites von 47 Organisationen. Darunter sind die Regierungen der US-Bundestaaten Indiana und Maryland, die Stadt New York, sowie Unternehmen wie American Airlines, J.B. Hunt und auch Microsoft.

Die Forscher von Upguard entdeckten den Bug am 24. Mai. Die Schwachstelle meldete das Unternehmen einen Monat später vertraulich an Microsoft. Der Softwarekonzern teilte kurz darauf mit, es handele sich nicht um einen Fehler, sondern um eine beabsichtigte Funktion. Daraufhin setzten sich die Forscher mit den betroffenen Microsoft-Kunden in Verbindung, um sie über ihre falsch konfigurierten Power Apps sowie die frei verfügbaren Daten zu informieren.

Upguard weist auch darauf hin, dass auch Microsoft von den falsch konfigurierten Power Apps betroffen war. Unter anderem war eine Liste mit Kontaktdaten wie E-Mail-Adressen und Telefonnummern von Microsoft-Mitarbeitern frei zugänglich. Die Liste gehörte zu Microsofts Global Payroll Services.

“Wir verstehen zwar die Position von Microsoft (und stimmen ihr zu), dass es sich hier nicht um eine reine Software-Schwachstelle handelt, aber es ist ein Plattformproblem, das Codeänderungen am Produkt erfordert und daher in denselben Arbeitsablauf wie Schwachstellen eingeordnet werden sollte” lautet das Fazit der Forscher. “Es ist eine bessere Lösung, das Produkt als Reaktion auf das beobachtete Benutzerverhalten zu ändern, als den systemischen Datenverlust als Fehlkonfiguration des Endbenutzers abzustempeln, so dass das Problem fortbesteht und die Endbenutzer dem Cybersicherheitsrisiko einer Datenverletzung ausgesetzt werden.”

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Sichere Digitalisierung: 18. Deutscher IT-Sicherheitskongress des BSI

Bundesinnenministerin Nancy Faeser und Bundes-CIO Markus Richter sprechen zu Cyber-Security.

7 Stunden ago

QNAP verteilt Zwangsupdate für NAS-Geräte gegen Ransomware DeadBolt

Cybererpresser kapern möglicherweise tausende QNAP-NAS-Geräte. Nutzer berichten von unerwünschten Nebenwirkungen durch das Update. Das Update…

13 Stunden ago

Apple meldet Rekordumsatz im ersten Fiskalquartal

Umsatz und Gewinn steigen im zweistelligen Bereich. Bis auf die iPad-Sparte melden alle Geschäftsbereiche deutliche…

14 Stunden ago

Große Log4Shell-Beben blieb bisher aus: Bug bleibt aber Angriffsziel

Die Experten von Sophos haben die Ereignisse rund um die Log4Shell-Schwachstelle forensisch analysiert und eine…

15 Stunden ago

Cyber-Security-Risk-Report 2021: Jedes 2. Unternehmen von Cyber-Angriffen betroffen

Bei mehr als der Hälfte der Unternehmen fehlt eine vollumfängliche Risikobetrachtung. Unterstützung durch Behörden wird…

15 Stunden ago

5 Tipps für mehr IT-Sicherheit und Datenschutz von Smartphones

Smartphones werden vielfach nicht als Ziele für Cyberangriffe betrachtet, was jedoch ein beträchtliches Risiko birgt.

1 Tag ago