- Mehr als 38 Millionen Datensätze sind online durchgesickert, weil Benutzer Standardkonfigurationen in Microsoft Power Apps-Portalen verwenden.
- Diese sensiblen Daten, die offengelegt wurden, wurden laut Forschern alle im Power Apps-Portaldienst von Microsoft gespeichert.
- Beim Aktivieren bestimmter APIs hat die Plattform standardmäßig die entsprechenden Daten öffentlich zugänglich gemacht.
- Die Fehlkonfiguration von Cloud-basierten Datenbanken war im Laufe der Jahre ein ernstes Problem, das riesige Datenmengen unangemessenen Zugriffen oder Diebstahl aussetzte.
Wie Sie wissen, ist Power Apps die Low-Code-Plattform von Microsoft, mit der Unternehmen schnell vollwertige Anwendungen entwickeln können, meist für den internen Gebrauch, komplett mit Frontend und Backend.
Es ist wirklich ein mächtiges Werkzeug, mit dem Sie Apps erstellen können, auch wenn Sie keine Programmierkenntnisse haben.
Obwohl Microsoft Power Apps regelmäßig mit neuen Features und Funktionen aktualisiert, kann ein neuer Bericht für Unternehmen Anlass zur Sorge geben.
Es scheint, dass über 38 Millionen Datensätze online durchgesickert sind, weil Benutzer Standardkonfigurationen in Microsoft Power Apps-Portalen verwenden.
Von dem Vorfall waren große Unternehmen wie American Airlines, Ford, das Transport- und Logistikunternehmen J.B. Hunt, das Gesundheitsministerium von Maryland, die städtische Verkehrsbehörde von New York City und die Öffentlichkeit von New York City Schulen.
Und obwohl die Datenexponierungen angegangen wurden, zeigen sie, wie eine schlechte Konfigurationseinstellung in einer beliebten Plattform weitreichende Folgen haben kann.
Informationen zur Kontaktverfolgung, die über das Internet offengelegt wurden
Die offengelegten Daten wurden alle im Power Apps-Portaldienst von Microsoft gespeichert, einer Entwicklungsplattform, die das Erstellen von Web- oder mobilen Apps für die externe Verwendung erleichtert.
Wenn Sie beispielsweise während einer Pandemie schnell eine Website zur Anmeldung von Impfstoffterminen einrichten müssen, können Power Apps-Portale sowohl die öffentlich zugängliche Website als auch das Datenverwaltungs-Back-End generieren.
Bereits im Mai haben Forscher der Sicherheitsfirma Upguard begann zu recherchieren eine große Anzahl von Power Apps-Portalen, die Daten öffentlich zugänglich gemacht haben, die privat hätten sein sollen.
Darunter befanden sich einige Power Apps, die Microsoft für eigene Zwecke entwickelt hat.
Es ist jedoch nicht bekannt, dass die Daten kompromittiert wurden, aber das Ergebnis ist immer noch wichtig, da es ein Versehen im Design von Power Apps-Portalen offenbart, das inzwischen behoben wurde.
Neben der Verwaltung interner Datenbanken und der Bereitstellung einer Grundlage für die Entwicklung von Apps bietet die Power Apps-Plattform auch vorgefertigte Anwendungsprogrammierschnittstellen für die Interaktion mit diesen Daten.
Fehlkonfiguration führt zu Sicherheitslücke
Die Forscher von Upguard erkannten, dass die Plattform beim Aktivieren dieser APIs standardmäßig die entsprechenden Daten öffentlich zugänglich machte.
Die Aktivierung der Datenschutzeinstellungen war ein manueller Prozess, weshalb viele Kunden ihre Apps falsch konfigurierten, indem sie den unsicheren Standard beließen.
Wir haben eines davon gefunden, das falsch konfiguriert war, um Daten offenzulegen, und dachten, wir haben noch nie davon gehört, ist das eine einmalige Sache oder ist das ein systembedingtes Problem? Aufgrund der Funktionsweise des Power Apps-Portalsprodukts ist es sehr einfach, schnell eine Umfrage durchzuführen. Und wir haben festgestellt, dass es Unmengen davon gibt. Es war wild.
Microsoft selbst hat eine Reihe von Datenbanken in seinen eigenen Power Apps-Portalen veröffentlicht, darunter eine alte Plattform namens Global Payroll Services, zwei Business Tools Support-Portale und ein Customer Insights Portal.
Die Fehlkonfiguration von Cloud-basierten Datenbanken war im Laufe der Jahre ein ernstes Problem, das riesige Datenmengen unangemessenen Zugriffen oder Diebstahl aussetzte.
Große Cloud-Unternehmen wie Amazon Web Services, Google Cloud Platform und Microsoft Azure haben alle Schritte unternommen, um Kundendaten zu speichern standardmäßig von Anfang an privat und weist auf potenzielle Fehlkonfigurationen hin, aber die Branche hat das Problem erst fair priorisiert vor kurzem.
Die Upguard-Forscher konnten nicht alle Entitäten erreichen, weil es zu viele waren, und gaben die Ergebnisse auch an Microsoft weiter.
Benutzer können ihre Portaleinstellungen mit dem Tool von Microsoft überprüfen
Anfang August, Microsoft hat angekündigt dass Power Apps-Portale nun standardmäßig API-Daten und andere Informationen privat speichern.
Auch die Firma Redmond ein Werkzeug veröffentlicht Kunden können ihre Portaleinstellungen überprüfen.
Aber zwischen den Fixes von Microsoft und den eigenen Benachrichtigungen von UpGuard sagen Experten jetzt, dass die überwiegende Mehrheit der exponierten Portale und alle der sensibelsten jetzt privat sind.
Bei anderen Dingen, an denen wir gearbeitet haben, ist allgemein bekannt, dass Cloud-Buckets falsch konfiguriert sein können, daher ist es nicht unsere Aufgabe, sie alle zu schützen. Aber niemand hatte diese jemals zuvor aufgeräumt, daher fühlten wir uns als ethische Pflicht verpflichtet, zumindest die sensibelsten zu sichern, bevor wir über die systemischen Probleme sprechen konnten.
Wie stehst du zu dieser ganzen Situation? Teilen Sie uns Ihre Gedanken im Kommentarbereich unten mit.
