Fast 40 Millionen Datensätze sind durch schlechte Einstellungen für Power-Apps durchgesickert

Sicherheitsforscher haben herausgefunden, dass rund 38 Millionen Datensätze online preisgegeben wurden. Das Datenleck wurde durch schlecht konfigurierte Instanzen von Microsoft Power Apps verursacht. Zu den durchgesickerten Daten gehören Covid-Impfinformationen, E-Mails und Sozialversicherungsnummern.

Wired berichtet, dass von großen Unternehmen gespeicherte Daten online offengelegt wurden. Zu den Namen von Unternehmen, die aufgrund der Konfigurationsprobleme Datensätze durchsickerten, gehören öffentliche Schulen in New York City, das Gesundheitsministerium des Bundesstaates Indiana sowie American Airlines und der Fahrzeughersteller Ford.

Das Leck wurde von Forschern entdeckt, die mit der Sicherheitsfirma Upguard zusammenarbeiten, die vor einigen Monaten mit ihrer Untersuchung begonnen hatten. Das Endergebnis war, dass die undichten Daten, obwohl sie angeblich gesichert waren, für jeden im Internet öffentlich zugänglich waren.

Das Problem wurde dadurch verursacht, dass Power App-APIs Daten, die mit der API gesammelt wurden, öffentlich machen, wenn die Standardeinstellungen verwendet werden. Wenn der Besitzer des jeweiligen App-Portals diese Informationen ordnungsgemäß sichern möchte, müsste er die verwendete API und App neu konfigurieren, um die Daten sicher und privat zu machen.

An der Untersuchung beteiligte Forscher benachrichtigten Microsoft über das Problem und sendeten Links zu den spezifischen Power App-Portalen, bei denen Daten verloren gingen. Etwas verwirrend wurde den Forschern nach einem kurzen Austausch mit Microsoft mitgeteilt, dass das Problem behoben sei, da dieses Verhalten als "by design" eingestuft wurde.

Die Forscher von Upguard kontaktierten dann einzelne Unternehmen und Einheiten, die von dem Problem mit der Standardkonfiguration betroffen waren. Innerhalb weniger Tage wurde die überwiegende Mehrheit der undichten Instanzen von Power Apps ordnungsgemäß gesichert und das Problem wurde tatsächlich behoben.

Microsoft hat eine Erklärung abgegeben, dass jetzt jeder, der die Power Apps-Portale verwendet, seine gesammelten Daten gesichert und standardmäßig auf privat gesetzt hat. Darüber hinaus hat das Softwareunternehmen ein spezielles Tool veröffentlicht, mit dem Kunden den Datenschutz von Power Apps-Daten einfach überprüfen können.

Es gibt bisher keine Informationen oder Beweise dafür, dass die durchgesickerten Daten von böswilligen Akteuren abgekratzt oder anderweitig missbraucht wurden.

Der Vorfall hat nicht annähernd zu einer Datenkatastrophe geführt, zeigt aber dennoch, dass selbst ein einfaches Versehen und das Vertrauen auf die Standardeinstellungen eines Tools, mit dem Sie nicht ganz vertraut sind, zu potenziellen Risiken und Datensicherheitsproblemen führen kann.