Categories: Software

Falsch konfigurierte Microsoft Power Apps geben 38 Millionen Datensätze preis

Der Sicherheitsanbieter Upguard hat herausgefunden, dass Microsoft Power Apps unter Umständen aufgrund einer Voreinstellung vertrauliche Daten preisgeben. Die Forscher von Upguard fanden unter anderem Sozialversicherungsnummern, E-Mail-Adressen und COVID-19-Impstatus. Insgesamt sollen 38 Millionen Datensätze öffentlich zugänglich gewesen sein.

Microsoft Power Apps erlauben die Entwicklung von Low-Code-Anwendungen sowie öffentlicher und interner Websites. Die Schwachstelle wiederum steckt in der Konfiguration einer OData genannten Programmierschnittstelle. Sie kann benutzt werden, um Daten öffentlich zugänglich zu machen, entweder “anonym oder über eine kommerzielle Authentifizierung”.

Allerdings ist die Programmierschnittstelle ab Werk so konfiguriert, dass sie einen Zugriff auf Daten erlaubt. Microsoft weist auf diesen Umstand auch mit einem Warnung hin: “Seien Sie vorsichtig, wenn Sie OData Feed ohne Tabellenberechtigungen für vertrauliche Informationen aktivieren. Auf den OData Feed kann anonym und ohne Berechtigungsprüfungen zugegriffen werden, falls ‘Tabellenberechtigungen aktivieren’ deaktiviert ist.”

Von dem Problem betroffen sind Apps und Websites von 47 Organisationen. Darunter sind die Regierungen der US-Bundestaaten Indiana und Maryland, die Stadt New York, sowie Unternehmen wie American Airlines, J.B. Hunt und auch Microsoft.

Die Forscher von Upguard entdeckten den Bug am 24. Mai. Die Schwachstelle meldete das Unternehmen einen Monat später vertraulich an Microsoft. Der Softwarekonzern teilte kurz darauf mit, es handele sich nicht um einen Fehler, sondern um eine beabsichtigte Funktion. Daraufhin setzten sich die Forscher mit den betroffenen Microsoft-Kunden in Verbindung, um sie über ihre falsch konfigurierten Power Apps sowie die frei verfügbaren Daten zu informieren.

Upguard weist auch darauf hin, dass auch Microsoft von den falsch konfigurierten Power Apps betroffen war. Unter anderem war eine Liste mit Kontaktdaten wie E-Mail-Adressen und Telefonnummern von Microsoft-Mitarbeitern frei zugänglich. Die Liste gehörte zu Microsofts Global Payroll Services.

“Wir verstehen zwar die Position von Microsoft (und stimmen ihr zu), dass es sich hier nicht um eine reine Software-Schwachstelle handelt, aber es ist ein Plattformproblem, das Codeänderungen am Produkt erfordert und daher in denselben Arbeitsablauf wie Schwachstellen eingeordnet werden sollte” lautet das Fazit der Forscher. “Es ist eine bessere Lösung, das Produkt als Reaktion auf das beobachtete Benutzerverhalten zu ändern, als den systemischen Datenverlust als Fehlkonfiguration des Endbenutzers abzustempeln, so dass das Problem fortbesteht und die Endbenutzer dem Cybersicherheitsrisiko einer Datenverletzung ausgesetzt werden.”

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Windows 11: Microsoft testet Fix für Performanceprobleme bei AMD-CPUs

Ein Vorabversion korrigiert allerdings nur einen von zwei bekannten Bugs. Die Allgemeinheit erhält dieses Update…

26 Minuten ago

Cloud und Compliance als Basis souveräner IT-Sicherheit

IT-Sicherheitsmessen wie die it-sa 2021 zeigen, dass der Wunsch nach digitaler Souveränität in der IT-Sicherheit…

27 Minuten ago

US-Finanzministerium: Ransomware für Bitcoin-Transaktion in Milliardenhöhe verantwortlich

Es geht um Transaktionen im Wert von bis zu 5,2 Milliarden Dollar. Allein im ersten…

2 Stunden ago

Apple sackt 75 Prozent der weltweiten Smartphone-Gewinne ein

Samsung kommt lediglich auf einen Anteil von 13 Prozent. Auch gemessen am Umsatz ist Apple…

4 Stunden ago

Microsoft behebt AMD-CPU-Leistungsproblem

Microsoft hat einen Teil eines Problems behoben, das die Leistung von Anwendungen unter Windows 11…

5 Stunden ago

Virtuelle Maschine mit Windows 11 erstellen

Wenn Sie Windows 11 auf risikofreie Weise ausprobieren wollen, verwenden Sie Hyper-V. Damit können Sie…

5 Stunden ago