Nicht immer sind nur Sicherheitslücken in Software für
Datenlecks verantwortlich - auch einfache Konfigurationsfehler können
Millionen von personenbezogenen Daten frei im Internet zugänglich
machen. Zahlreiche falsch konfigurierte, mit Microsoft
Power Apps erstellte Anwendungen wurden nun von IT-Sicherheitsforschern
des Unternehmens Upguard entdeckt. Laut Upguard waren durch die
Fehlkonfigurationen 38 Millionen Datensätze ungeschützt.
Die Anwendungsentwicklung soll mit Power Apps vereinfacht werden.
Nutzer können etwa über Power-Apps-Portale über eine
Website auf Anwendungsdaten zugreifen. Bei der C-Programmierschnittstelle
für den Datenzugriff wurden Daten bisher gemäß Standardeinstellung
öffentlich zugänglich gemacht. Entwickler mussten mnauell
weitere Einstellungen zur Einschränkung des Zugriffs vornehmen,
was in einigen Fällen offenbar nicht geschehen ist.
Die Entdeckung des Problems bei den Power-Apps-Portalen meldeten
die Sicherheitforscher Microsoft im Juni. Microsoft lehnte erst
ab, da es sich um ein vorgesehenes Verhalten handele - später
jedoch veröffentlichte das Unternehmen ein
Tool zur Überprüfung der Zugriffsmöglichkeiten.
Der anonyme Zugriff muss in neu erstellten Portalen zudem nun explizit
erlaubt werden.
Im
Unternehmensblog von Upguard wird der Schritt begrüßt
- demnach sei es besser "das Produkt als Reaktion auf das beobachtete
Nutzerverhalten zu ändern, als den systemischen Datenverlust
als Fehlkonfiguration der Nutzer abzustempeln".
(jb, hannover)
(siehe auch: golem.de)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|