Die
Microsoft Power Apps erlauben die Erstellung von einfachen, in der Cloud gehosteten Business Intelligence Apps. Sicherheitsforscher haben nun festgestellt, dass eine erschreckende Zahl der von Unternehmen und Regierungsbehörden eingesetzten Power Apps ein massives Datenleck aufweisen. Der Cybersecurity-Spezialist Upguard hat die Lücke entdeckt und einen umfangreichen
Blogpost dazu verfasst (
via "Borncity"). Rund 38 Millionen Datensätze mit teils sensitiven Daten sollen offengelegen sein.
Einige Power Apps, die unter anderem von grossen Firmen wie American Airlines, J.B. Hunt oder Microsoft sowie in US-Bundesbehörden eingesetzt wurden, weisen Lücken in der Sicherung der Daten auf, wie die Forscher schreiben. Unter den Datensätzen befinden sich auch sensible Daten wie Sozialversicherungsnummern, Mitarbeiternamen und -IDs, Daten zur Covid-Impfung und E-Mail-Adressen.
Upguard informierte Microsoft im Frühjahr 2021, in einer ersten Antwort hiess es darauf, dass dieses Verhalten so gewollt sei, die Absicherung der entsprechenden Datenquellen war laut Microsoft also schuld an der Offenlegung der Daten. Nachdem die Forscher die Gefährdungen durch die offenen Daten an die betroffenen Unternehmen gemeldet hatten, lenkte auch Microsoft ein und ergriff schliesslich erste Massnahmen. Der Fall wirft Fragen auf, denn Microsoft bewirbt Power Apps für Leute, die ohne Entwicklerkenntnisse Business Apps erstellen wollen – für Menschen also, die mehrheitlich wenig von Cybersecurity verstehen.
(win)
