[English]Ich habe ja bereits länger darauf gewartet, dass so etwas passiert. Fehlkonfigurierte Microsoft Power Apps haben 38 Millionen Datensätze mit sensitiven Daten offen gelegt. Betroffen sind siebenundvierzig staatliche Stellen und Unternehmen, wie Sicherheitsforscher von UpGuard im Mai 2021 herausgefunden und jetzt bekannt gegeben haben.
Anzeige
Microsoft Power Apps
Power Apps ist ein Bestandteil der Microsoft Power Platform, die auch Microsoft Power Automate und Power BI umfasst. Das Produkt dienst zur Erstellung von "Low-Code"-Business-Intelligence-Apps, die in der Cloud gehostet werden. Power-Apps-Portale sind eine Möglichkeit, eine öffentliche Website zu erstellen, um "sowohl internen als auch externen Benutzern einen sicheren Zugang zu Ihren Daten zu ermöglichen".
Power Apps unterstützt eine breite Anzahl an Konnektoren, um Daten aus Quellen wie beispielsweise SharePoint, Microsoft Dynamics 365, Salesforce oder weiteren Drittsystemen nutzen zu können. Benutzer können Websites in der Power Apps-Benutzeroberfläche mit Anwendungsfunktionen wie Benutzerauthentifizierung, Formularen für die Dateneingabe durch Benutzer, Datenumwandlungslogik, Speicherung strukturierter Daten und APIs zum Abrufen dieser Daten durch andere Anwendungen erstellen.
Die Konfiguration von Applikationen setzt keine Entwicklerkenntnisse voraus. So wird die Lösung auch durch Microsoft beworben – quasi jeder kann Apps ohne viele Kenntnisse entwickeln. Portale bieten eine öffentliche Website für die Interaktion mit diesen Anwendungen. In der Regel verwendet ein Geschäftsbereich oder eine Behörde ein Portal als Schnittstelle zu einer bestimmten Zielgruppe wie Kunden, Vertriebspartnern, Mitarbeitern oder Bürgern.
Broken by Design
Aber immer wenn es heißt "Du brauchst keine Kenntnisse, um dieses oder jenes zu tun", ist der nächste Unfall nicht weit. Ich hatte zwar eher mit "Power Apps wird eingestellt" oder "Es gibt eine gravierende Schwachstelle in Power Apps gefunden worden" gerechnet. Nun sind den Nutzern aber die Voreinstellungen in der betreffenden Umgebung zum Verhängnis geworden.
Anzeige
Sicherheitsforscher von Upguard sind im Mai 2021 auf mehrere Datenlecks in den Microsoft Power Apps Portalen gestoßen, welche sie nun in diesem Artikel offen gelegt haben. Das Problem: Die Microsoft Power Apps Portale waren so konfiguriert, dass sie einen öffentlichen Zugang erlauben. Das muss wohl die Standardeinstellung beim Aufsetzen der Portale gewesen sein. Das Ganze ermöglichte einen neuen Vektor für Datenlecks, da unbefugte Dritte auf die öffentlich freigegebenen Daten zugreifen konnten.
OData API-Konfigurierung
Die Power Apps besitzen eine Option zur Aktivierung von OData-APIs (Open Data Protocol). Über diese APIs ist der Abruf von Daten aus Power Apps-Listen möglich. Power Apps-Listen stellen die Power Apps-Konfiguration dar, die verwendet wird, um "Datensätze für die Anzeige in Portalen freizugeben". Die Listen rufen Daten aus Tabellen ab. Um den Zugriff auf die Listendaten für einen Benutzer einzuschränken, sind Tabellenberechtigungen zu aktivieren und zu konfigurieren. Konkret müssen Nutzer zum Schützen einer Liste die Tabellenberechtigungen für die Tabelle, für die die Datensätze angezeigt werden dürfen, konfigurieren. Außerdem muss der boolesche Wert für die Tabellenberechtigungen im Listendatensatz auf true gesetzt werden. Wenn diese Konfigurationen nicht festgelegt sind und der OData-Feed aktiviert ist, können anonyme Benutzer ungehindert auf Listendaten zugreifen.
38 Millionen Datensätze einsehbar
Am 24. Mai 2021 entdeckte ein UpGuard-Analyst erstmals, dass die OData-API für ein Power-Apps-Portal anonym zugängliche Listendaten enthielt, darunter auch personenbezogene Daten. Der Eigentümer dieser Anwendung wurde benachrichtigt und die Daten wurden gesichert. Dieser Fall führte zu der Frage, ob es andere Portale mit der gleichen Situation gibt – die Kombination von Konfigurationen, die einen anonymen Zugriff auf Listen über OData-Feed-APIs ermöglichen, und sensiblen Daten, die von den Apps gesammelt und gespeichert werden.
Die Sicherheitsforscher von Upguard sind dann in den Microsoft Power Apps Portalen auf eine Menge weiterer Datenlecks mit sensitiven Daten gestoßen, die öffentlich abrufbar waren. Die Art der offengelegten Daten variierte von Portal zu Portal. Es fanden sich sehr persönliche Informationen, die für die COVID-19-Kontaktverfolgung verwendet wurden, COVID-19-Impftermine, Sozialversicherungsnummern von Stellenbewerbern, Mitarbeiter-IDs und Millionen von Namen und E-Mail-Adressen.
Die UpGuard-Sicherheitsforscher identifizierten und meldeten 47 Stellen, bei denen personenbezogene Daten öffentlich einsehbar waren. Unter den 47 Stellen waren Regierungsbehörden wie Indiana, Maryland und New York City sowie Privatunternehmen wie American Airlines, J.B. Hunt und Microsoft. Insgesamt waren 38 Millionen Datensätze über alle betroffenen Portale abrufbar.
Microsoft: Das ist by design
Am Donnerstag, den 24. Juni 2021, haben die Upguard-Sicherheitsanalysten einen Bericht über die Sicherheitslücke an das Microsoft Security Resource Center übermittelt. Am Dienstag, den 29. Juni, wurde der Fall geschlossen, und der Microsoft-Analyst teilten den Sicherheitsforschern mit, dass sie "festgestellt haben, dass dieses Verhalten als beabsichtigt angesehen wird". Mit anderen Worten: Die Anwender, die sich die Apps zusammenklöppeln, sind schuld.
Im Nachgang haben die Sicherheitsforscher die entdeckten über tausend anonym zugängliche Listen in einigen hundert Portalen analysiert und dann deren Besitzer benachrichtigt. Idealer wäre es gewesen, wenn Microsoft in diesen Prozess involviert gewesen wäre. Aber der erste Versuch war erfolglos – später ergriff Microsoft Maßnahmen, nachdem die Sicherheitsforscher einige der schwerwiegendsten Gefährdungen gemeldet hatten.
So verbrachten die Sicherheitsforscher Wochen damit, die Daten auf Indikatoren für die Sensibilität zu analysieren und die betroffenen Organisationen zu kontaktieren. Im verlinkten Artikel haben die Sicherheitsforscher einige Details für einige der schwerwiegendsten Fälle beschrieben. So war American Airlines mit der Sammlung "Kontakte" betroffen. Diese enthielt 398.890 Datensätze, die vollständige Namen, Berufsbezeichnungen, Telefonnummern und E-Mail-Adressen enthielt. Die Sammlung "Test" enthielt 470.400 Datensätze, darunter vollständige Namen, Berufsbezeichnungen, Telefonnummern und E-Mail-Adressen. Die Details lassen sich in diesem Artikel nachlesen. Wired hat ebenfalls diesen Artikel zum Thema veröffentlicht.
Anzeige
Man braucht so etwas, wie einen Portscan, der vor der Freigabe erfolgt. Manche nennen es auch Audit.
Ähnlich ist es, wenn man zwar ständig sichert, aber niemals ausprobiert hat, ob das Recovery auch funktioniert und wenn man es dann braucht, funktioniert es natürlich nicht. :D
Wann und kann hier eigentlich ein "Point of no return" erreicht werden, der das Internet in der Breite, Onlineeinkauf, Kommunikation usw., mangels Datensicherheit unbrauchbar macht?
Der ist imho überschritten, es hat noch keiner gemerkt. Aber ich bin da offenbar zu viel apokalyptischer Reiter ;-).
Ich teile Deine Ansicht. Der Schaden ist angerichtet und irreversible.
In punkto Sicherheit ist das Internet tot. Dank uralter Protokolle, zu vielen Möglichkeiten unsichere Systeme einzubinden (sowohl IoT, als auch Protokolle und Anwendungen).
Dumbphone-Geschichten haben die Situation nicht verbessert, 2FA ist blanker Hohn und moderne KFZ mit (typisch schlechter) deutscher Software, reißen dann die letzten Sicherheitslöcher rein.
Interoperabilität auf Kosten der Sicherheit.
Aber nachdem ich an Kassenterminals (PCs) gesehen habe, daß die Inhaber auf XXX-Seitchen (inkl. Schadcode) herumeiern… lassen wir das.
Nur um das klar zu stellen: Offline-Geschichten sind auch kaum noch als sicher zu betrachten, da sie letztlich auch ein digitales Backend haben.
Einzig auf dem Wochen- und Flohmarkt "könnte" man etwas Sicherheit genießen. Wobei… jeder … hat ein Dumbphone und sehr viele übermitteln fortwährend ihre Standortdaten, zumindest jedoch die eingebuchten Funkzellen – was wiederum Zuordnungen von Kontakten ermöglicht.
Je mehr man sich damit befaßt, um so weniger möchte man es eigentlich wissen und wünscht sich glückselige Naivität herbei.
Sorry, aber was kann denn das Internet dafür?
Es gibt klare Regeln, die nennen sich RFC. Das Internet ist nicht an dem Sicherheitsdisaster schuld.
Die Startups, Hippster, Daus, Honks halten sich nicht an diese Regeln. Somit haben sie nichts im Internet verloren. Ende der Geschichte.
Es wird Zeit, dass derartiges in strafrechtliche Haftung kommt, damit da überhaupt mal was passiert. Übrigens sollte das auch für Behörden gelten.
Ich gehe noch einen Schritt weiter: Unterlassene Hilfeleistung.
Der Beitrag wäre eigentlich länger, aber ich resigniere hier.
Das Hochwasser vom 14. Juli kündigte sich in jedem Smartphone an.
Der Wirbel über Westeuropa engegen dem Uhrzeigersinn auf Windy.com,
die Ganglinien der Pegel aus RLP und NRW, das Ganze sogar als App,
die in's Violette verfärbten Regenmengen, das Auge direkt über der Eifel,
alles auf jedem Gerät abrufbar, dafür braucht es keine Sirenen. Dann
aber in's Bett gehen und sich wundern, wenn Nachbarn samt Hausrat
und Auto am Fenster vorbeischwimmen … 200 Tote, man faßt es nicht.
Ich habe hier schon mal Neil Postman thematisiert: "Wir amüsieren uns
zu Tode", hier paßt es wie angegossen.
Wäre ich Landrat, ich hätte vor dem Rücktritt noch eine letzte Rede gehalten.
Auch hier gilt… Governance, Data Lost Prevention und auch mal das Center of Excellence Kit (https://docs.microsoft.com/de-de/power-platform/guidance/coe/starter-kit) für die Power Apps etablieren. Plus die User Adoption/Awareness vom "Citizen Developer" ;)