Weil Dutzende Konzerne und Organisationen die Standardeinstellungen eines Programmiersystems bei der Anwendung nicht verändert haben, konnte jeder auf ihre Daten zugreifen.
In der Werbung klingt es so einfach. Mit Microsoft Power Apps könne »jeder Apps entwickeln und teilen – schnell, einfach und mit wenig Code«, wirbt der Windows-Konzern für ein Angebot, dessen Kunden tatsächlich genau das machen können: Apps entwickeln, ohne programmieren zu können. Wie die Cybersicherheitsfirma UpGuard nun berichtet, haben mindestens 47 öffentliche Institutionen und Unternehmen beim Umgang mit diesem System Fehler gemacht, durch die 38 Millionen Datensätze frei abrufbar waren.
Im Rahmen einer Untersuchung haben Forscher des US-Security-Unternehmens UpGuard Ende Mai 2021 in einem mit Microsofts Low-Code-Angebot Power Apps erstellten Portal eine Liste mit sensiblen Daten gefunden. Daraufhin nahmen sie weitere Portale in Sachen Datensicherheit unter die Lupe: Dabei stießen sie in 47 Fällen auf teilweise umfangreiche und per OData-API (Open Data Protocol) frei zugängliche Listen mit teilweise personenbezogenen Daten, wie Kontaktdaten, Sozialversicherungsnummern oder Impfstatus. Betroffen waren sowohl Regierungsstellen als auch große Unternehmen, insgesamt sollen so 38 Millionen Datensätze zugänglich gewesen sein.
Microsoft hat auf das weit verbreitete Konfigurationsproblem reagiert.
Inzwischen scheint Microsoft sich eines Besseren besonnen zu haben und hat einerseits den Warnhinweis in der Dokumentation deutlicher markiert und zum anderen die Default-Einstellung für neue Portale dahingehend geändert, dass Tabellen standardmäßig mit einem Zugriffsschutz versehen sind und Power-Apps-Nutzer die externe Freigabe explizit einrichten müssen.
Quelle: By Design: How Default Permissions on Microsoft Power Apps Exposed Millions | UpGuard | By Design: How Default Permissions on Microsoft Power Apps Exposed Millions