{"id":256932,"date":"2021-08-24T00:51:00","date_gmt":"2021-08-23T22:51:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=256932"},"modified":"2023-11-03T13:32:31","modified_gmt":"2023-11-03T12:32:31","slug":"38-millionen-datenstze-durch-microsoft-power-apps-offen-gelegt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/08\/24\/38-millionen-datenstze-durch-microsoft-power-apps-offen-gelegt\/","title":{"rendered":"38 Millionen Datensätze durch Microsoft Power Apps offen gelegt"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Ich habe ja bereits l\u00e4nger darauf gewartet, dass so etwas passiert. Fehlkonfigurierte Microsoft Power Apps haben 38 Millionen Datens\u00e4tze mit sensitiven Daten offen gelegt. Betroffen sind siebenundvierzig staatliche Stellen und Unternehmen, wie Sicherheitsforscher von UpGuard im Mai 2021 herausgefunden und jetzt bekannt gegeben haben.<\/p>\n

<\/p>\n

Microsoft Power Apps<\/h2>\n

\"\"Power Apps<\/a> ist ein Bestandteil der Microsoft Power Platform<\/a>, die auch Microsoft Power Automate und Power BI umfasst. Das Produkt dienst zur Erstellung von \"Low-Code\"-Business-Intelligence-Apps, die in der Cloud gehostet werden. Power-Apps-Portale sind eine M\u00f6glichkeit, eine \u00f6ffentliche Website zu erstellen, um \"sowohl internen als auch externen Benutzern einen sicheren Zugang zu Ihren Daten zu erm\u00f6glichen\".<\/p>\n

Power Apps unterst\u00fctzt eine breite Anzahl an Konnektoren, um Daten aus Quellen wie beispielsweise SharePoint, Microsoft Dynamics 365, Salesforce oder weiteren Drittsystemen nutzen zu k\u00f6nnen. Benutzer k\u00f6nnen Websites in der Power Apps-Benutzeroberfl\u00e4che mit Anwendungsfunktionen wie Benutzerauthentifizierung, Formularen f\u00fcr die Dateneingabe durch Benutzer, Datenumwandlungslogik, Speicherung strukturierter Daten und APIs zum Abrufen dieser Daten durch andere Anwendungen erstellen.<\/p>\n

Die Konfiguration von Applikationen setzt keine Entwicklerkenntnisse voraus. So wird die L\u00f6sung auch durch Microsoft beworben<\/a> – quasi jeder kann Apps ohne viele Kenntnisse entwickeln. Portale bieten eine \u00f6ffentliche Website f\u00fcr die Interaktion mit diesen Anwendungen. In der Regel verwendet ein Gesch\u00e4ftsbereich oder eine Beh\u00f6rde ein Portal als Schnittstelle zu einer bestimmten Zielgruppe wie Kunden, Vertriebspartnern, Mitarbeitern oder B\u00fcrgern.<\/p>\n

Broken by Design<\/h2>\n

Aber immer wenn es hei\u00dft \"Du brauchst keine Kenntnisse, um dieses oder jenes zu tun\", ist der n\u00e4chste Unfall nicht weit. Ich hatte zwar eher mit \"Power Apps wird eingestellt\" oder \"Es gibt eine gravierende Schwachstelle in Power Apps gefunden worden\" gerechnet. Nun sind den Nutzern aber die Voreinstellungen in der betreffenden Umgebung zum Verh\u00e4ngnis geworden.<\/p>\n

Sicherheitsforscher von Upguard sind im Mai 2021 auf mehrere Datenlecks in den Microsoft Power Apps Portalen gesto\u00dfen, welche sie nun in diesem Artikel<\/a> offen gelegt haben. Das Problem: Die Microsoft Power Apps Portale waren so konfiguriert, dass sie einen \u00f6ffentlichen Zugang erlauben. Das muss wohl die Standardeinstellung beim Aufsetzen der Portale gewesen sein. Das Ganze erm\u00f6glichte einen neuen Vektor f\u00fcr Datenlecks, da unbefugte Dritte auf die \u00f6ffentlich freigegebenen Daten zugreifen konnten.<\/p>\n

OData API-Konfigurierung<\/h3>\n

Die Power Apps besitzen eine Option zur Aktivierung von OData-APIs (Open Data Protocol). \u00dcber diese APIs ist der Abruf von Daten aus Power Apps-Listen m\u00f6glich. Power Apps-Listen stellen die Power Apps-Konfiguration dar, die verwendet wird, um \"Datens\u00e4tze f\u00fcr die Anzeige in Portalen freizugeben\". Die Listen rufen Daten aus Tabellen ab. Um den Zugriff auf die Listendaten f\u00fcr einen Benutzer einzuschr\u00e4nken, sind Tabellenberechtigungen zu aktivieren und zu konfigurieren. Konkret m\u00fcssen Nutzer zum Sch\u00fctzen einer Liste die Tabellenberechtigungen f\u00fcr die Tabelle, f\u00fcr die die Datens\u00e4tze angezeigt werden d\u00fcrfen, konfigurieren. Au\u00dferdem muss der boolesche Wert f\u00fcr die Tabellenberechtigungen im Listendatensatz auf true gesetzt werden. Wenn diese Konfigurationen nicht festgelegt sind und der OData-Feed aktiviert ist, k\u00f6nnen anonyme Benutzer ungehindert auf Listendaten zugreifen.<\/p>\n

38 Millionen Datens\u00e4tze einsehbar<\/h2>\n

Am 24. Mai 2021 entdeckte ein UpGuard-Analyst erstmals, dass die OData-API f\u00fcr ein Power-Apps-Portal anonym zug\u00e4ngliche Listendaten enthielt, darunter auch personenbezogene Daten. Der Eigent\u00fcmer dieser Anwendung wurde benachrichtigt und die Daten wurden gesichert. Dieser Fall f\u00fchrte zu der Frage, ob es andere Portale mit der gleichen Situation gibt – die Kombination von Konfigurationen, die einen anonymen Zugriff auf Listen \u00fcber OData-Feed-APIs erm\u00f6glichen, und sensiblen Daten, die von den Apps gesammelt und gespeichert werden.<\/p>\n

Die Sicherheitsforscher von Upguard sind dann in den Microsoft Power Apps Portalen auf eine Menge weiterer Datenlecks mit sensitiven Daten gesto\u00dfen, die \u00f6ffentlich abrufbar waren. Die Art der offengelegten Daten variierte von Portal zu Portal. Es fanden sich sehr pers\u00f6nliche Informationen, die f\u00fcr die COVID-19-Kontaktverfolgung verwendet wurden, COVID-19-Impftermine, Sozialversicherungsnummern von Stellenbewerbern, Mitarbeiter-IDs und Millionen von Namen und E-Mail-Adressen.<\/p>\n

Die UpGuard-Sicherheitsforscher identifizierten und meldeten 47 Stellen, bei denen personenbezogene Daten \u00f6ffentlich einsehbar waren. Unter den 47 Stellen waren Regierungsbeh\u00f6rden wie Indiana, Maryland und New York City sowie Privatunternehmen wie American Airlines, J.B. Hunt und Microsoft. Insgesamt waren 38 Millionen Datens\u00e4tze \u00fcber alle betroffenen Portale abrufbar.<\/p>\n

Microsoft: Das ist by design<\/h2>\n

Am Donnerstag, den 24. Juni 2021, haben die Upguard-Sicherheitsanalysten einen Bericht \u00fcber die Sicherheitsl\u00fccke an das Microsoft Security Resource Center \u00fcbermittelt. Am Dienstag, den 29. Juni, wurde der Fall geschlossen, und der Microsoft-Analyst teilten den Sicherheitsforschern mit, dass sie \"festgestellt haben, dass dieses Verhalten als beabsichtigt angesehen wird\". Mit anderen Worten: Die Anwender, die sich die Apps zusammenkl\u00f6ppeln, sind schuld.<\/p>\n

Im Nachgang haben die Sicherheitsforscher die entdeckten \u00fcber tausend anonym zug\u00e4ngliche Listen in einigen hundert Portalen analysiert und dann deren Besitzer benachrichtigt. Idealer w\u00e4re es gewesen, wenn Microsoft in diesen Prozess involviert gewesen w\u00e4re. Aber der erste Versuch war erfolglos – sp\u00e4ter ergriff Microsoft Ma\u00dfnahmen, nachdem die Sicherheitsforscher einige der schwerwiegendsten Gef\u00e4hrdungen gemeldet hatten.<\/p>\n

So verbrachten die Sicherheitsforscher Wochen damit, die Daten auf Indikatoren f\u00fcr die Sensibilit\u00e4t zu analysieren und die betroffenen Organisationen zu kontaktieren. Im verlinkten Artikel haben die Sicherheitsforscher einige Details f\u00fcr einige der schwerwiegendsten F\u00e4lle beschrieben. So war American Airlines mit der Sammlung \"Kontakte\" betroffen. Diese enthielt 398.890 Datens\u00e4tze, die vollst\u00e4ndige Namen, Berufsbezeichnungen, Telefonnummern und E-Mail-Adressen enthielt. Die Sammlung \"Test\" enthielt 470.400 Datens\u00e4tze, darunter vollst\u00e4ndige Namen, Berufsbezeichnungen, Telefonnummern und E-Mail-Adressen. Die Details lassen sich in diesem Artikel<\/a> nachlesen. Wired hat ebenfalls diesen Artikel<\/a> zum Thema ver\u00f6ffentlicht.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Ich habe ja bereits l\u00e4nger darauf gewartet, dass so etwas passiert. Fehlkonfigurierte Microsoft Power Apps haben 38 Millionen Datens\u00e4tze mit sensitiven Daten offen gelegt. Betroffen sind siebenundvierzig staatliche Stellen und Unternehmen, wie Sicherheitsforscher von UpGuard im Mai 2021 herausgefunden und … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1440,426],"tags":[4346,451,4328],"class_list":["post-256932","post","type-post","status-publish","format-standard","hentry","category-app","category-sicherheit","tag-app","tag-datenschutz","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/256932","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=256932"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/256932\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=256932"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=256932"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=256932"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}