Standardmässig alles öffentlich

Power-Apps-User entblössen versehentlich ihre privaten Daten

Uhr
von Coen Kaat und nba

Wer Microsofts Power Apps nutzt, sollte mal die Einstellungen überprüfen. Die Sicherheitsfirma Upguard fand mehrere Portale, die personenbezogene Daten frei zugänglich machten. Denn standardmässig ist alles öffentlich einsehbar.

(Source: Maklay62 / Pixabay.com)
(Source: Maklay62 / Pixabay.com)

Es ist schon etwas länger her: Bereits im Mai entdeckte der kalifornische Cybersecurity-Anbieter Upguard ein Problem mit Power Apps. Mit dem Low-Code-Angebot will Microsoft es auch nicht-technisch versierten Nutzern und Nutzerinnen ermöglichen, Apps und Web-Applikationen zu erstellen.

Die Sicherheitsfirma entdeckte, dass die OData-API für ein Power-Apps-Portal Zugriff auf eine Liste mit teilweise sensiblen, personenbezogenen Daten ermöglichte. Die Daten waren öffentlich und anonym zugänglich, wie das Unternehmen schreibt.

Das betroffene Unternehmen wurde benachrichtigt und die Liste gesichert. Eine Schwachstelle vermutend, suchte Upguard nach weiteren Fällen - und fand sie auch. Nach eigenen Angaben musste die Firma 47 Unternehmen, Organisationen und Regierungsstellen darauf hinweisen, dass sie ihre Daten der Öffentlichkeit preisgeben. Darunter waren auch grosse Privatunternehmen wie American Airlines, Ford und auch Microsoft selbst. Insgesamt entdeckte Upguard 38 Millionen Datensätze.

Kein Bug, sondern menschliches Versagen

Ende Juni meldete die Firma die vermeintliche Schwachstelle an Microsoft. Wenige Tage darauf hatte der Konzern seine Untersuchungen abgeschlossen: Es handelt sich dabei nicht um eine Sicherheitslücke, sondern um Konfigurationsfehler.

Microsoft warnt im Benutzerhandbuch für Power Apps vor diesem Problem. (Source: Upguard)

Standardmässig sind Power-Apps-Umgebungen nämlich auf "expose records for display on portals" eingestellt. Nutzerinnen und Nutzerin müssen die zugrunde liegenden Tabellen selbst vor unerwünschten Zugriffen schützen. Im Benutzerhandbuch warnt Microsoft sogar ausdrücklich davor, OData-Feeds ohne Zugriffsberechtigungen zu verwenden, weil diese sonst öffentlich zugänglich sind.

Für Upguard reicht diese Warnung nicht. Die Untersuchung zeige, dass Power Apps trotzdem falsch konfiguriert und sensible Daten öffentlich zugänglich gemacht werden. Unterdessen habe Microsoft Power-Apps-Portale dahingehend geändert, dass Tabellenberechtigungen standardmässig aktiviert sind bei neuen Projekten.

Webcode
DPF8_227293