Nicht immer sind nur Sicherheitslücken in Software für Datenlecks verantwortlich - auch einfache Konfigurationsfehler können Millionen von personenbezogenen Daten frei im Internet zugänglich machen. Zahlreiche falsch konfigurierte, mit Microsoft Power Apps erstellte Anwendungen wurden nun von IT-Sicherheitsforschern des Unternehmens Upguard entdeckt. Laut Upguard waren durch die Fehlkonfigurationen 38 Millionen Datensätze ungeschützt.

Die Anwendungsentwicklung soll mit Power Apps vereinfacht werden. Nutzer können etwa über Power-Apps-Portale über eine Website auf Anwendungsdaten zugreifen. Bei der C-Programmierschnittstelle für den Datenzugriff wurden Daten bisher gemäß Standardeinstellung öffentlich zugänglich gemacht. Entwickler mussten mnauell weitere Einstellungen zur Einschränkung des Zugriffs vornehmen, was in einigen Fällen offenbar nicht geschehen ist.

Die Entdeckung des Problems bei den Power-Apps-Portalen meldeten die Sicherheitforscher Microsoft im Juni. Microsoft lehnte erst ab, da es sich um ein vorgesehenes Verhalten handele - später jedoch veröffentlichte das Unternehmen ein Tool zur Überprüfung der Zugriffsmöglichkeiten. Der anonyme Zugriff muss in neu erstellten Portalen zudem nun explizit erlaubt werden.

Im Unternehmensblog von Upguard wird der Schritt begrüßt - demnach sei es besser "das Produkt als Reaktion auf das beobachtete Nutzerverhalten zu ändern, als den systemischen Datenverlust als Fehlkonfiguration der Nutzer abzustempeln".

(jb, hannover)

(siehe auch: golem.de)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE