Microsoft Power Apps: 38 miljoen gegevensrecords waren geopend in portals


Als onderdeel van een onderzoek vonden onderzoekers van het Amerikaanse beveiligingsbedrijf UpGuard eind mei 2021 een lijst met gevoelige gegevens in een portal die was gemaakt met het low-code Power Apps-aanbod van Microsoft. Vervolgens hebben ze andere portalen onder de loep genomen op het gebied van gegevensbeveiliging: in 47 gevallen kwamen ze lijsten tegen, waarvan sommige uitgebreid en vrij toegankelijk waren via OData-API (Open Data Protocol), waarvan sommige persoonsgegevens bevatten, zoals contactgegevens, burgerservicenummers of vaccinatiestatus. Zowel overheidsinstanties als grote bedrijven werden getroffen en in totaal zouden 38 miljoen datarecords toegankelijk zijn geweest.

Na het indienen van een kwetsbaarheidsrapport controleerde en legde Microsoft uit: De oorzaak was een fout in de configuratie van de toegangscontrole. Dit is geen vergissing en komt overeen met het verwachte gedrag. De standaardinstelling voor Power Apps-portals is “record voor weergave op portals tonen”, daarom moeten de onderliggende tabellen worden voorzien van toegangsbeveiliging. de Documentatie op Power Aps-portals waarschuwen expliciet voor het gevaar van het activeren van OData-feeds zonder toegangsbeveiliging voor de tabellen.




Ken jij de gratis al iX-Nieuwsbrief? Schrijf je nu in en mis op de releasedatum elke maand niets meer: heise.de/s/NY1E Het volgende nummer gaat over het omslagonderwerp van de septemberiX: Hoe presteert Low Code in de praktijk?

Dit is echter problematisch omdat gebruikers van krachtige apps meestal geen ontwikkelaars zijn die zijn opgeleid in beveiliging, maar – zoals Microsoft expliciet adverteert met zijn low-code product – niet hoeven te voldoen aan belangrijke vereisten voor het maken van portals. Ook de verantwoordelijke instanties in de betrokken bedrijven gaven toe dit potentiële datalek nog niet op hun agenda te hebben gehad. UpGuard hoopt met de Publicatie van de evenementen om hier meer gevoeligheid voor te creëren.

Inmiddels lijkt Microsoft van gedachten te zijn veranderd en heeft enerzijds de waarschuwing in de documentatie duidelijker gemarkeerd en anderzijds de standaardinstelling voor nieuwe portalen gewijzigd zodat tabellen standaard worden voorzien van toegangsbeveiliging en stroomvoorziening apps die gebruikers expliciet inschakelen, moeten externe toegang instellen.


Meer van iX magazine

Meer van iX magazine


Meer van iX magazine

Meer van iX magazine



(avr)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: