WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Docs.com của Microsoft chia sẻ các tệp tin và thông tin cá nhân nhạy cảm
Nếu bạn sử dụng Docs.com của Microsoft để lưu trữ các tài liệu cá nhân, hãy ngừng việc đọc bài viết này lại và đảm bảo rằng bạn không vô tình tiết lộ thông tin cá nhân của mình cho cả thế giới biết.
Microsoft mặc định để chế độ công khai cho các tài liệu được tải lên trang web chia sẻ này, và có vẻ như nhiều người dùng không biết đến điều đó. Có nghĩa là bất cứ ai cũng có thể tìm kiếm các thông tin cá nhân nhạy cảm trên Docs.com nếu thông tin đó không được cài đặt chế độ riêng tư một cách thủ công. Các thông tin có thể bao gồm số an sinh xã hội, số thẻ bảo hiểm y tế, hồ sơ ngân hàng, đơn xin việc, chi tiết liên lạc cá nhân, giấy tờ pháp lý và số giấy phép lái xe chỉ với vài phút tìm kiếm.
Vấn đề này được phát hiện gần đây bởi các nhà nghiên cứu an ninh và được đăng tải bởi ZDNet ngày 26/3. Trong một thời gian ngắn, Microsoft đã gỡ bỏ chức năng tìm kiếm mở rộng trên Docs.com nhưng sáng 27/3 chức năng đã trở lại.
Bằng việc sử dụng các kỹ thuật tìm kiếm cơ bản, các nhà nghiên cứu có thể phát hiện ra vô số tài liệu có chứa các thông tin cá nhân, tìm thấy đủ các loại thông tin trong các tài liệu đẩy người dùng vào các cuộc tấn công đánh cắp thông tin nhận diện và lừa đảo. Do tính nhạy cảm của thông tin, chúng tôi sẽ không công khai hoặc gửi link bất kỳ tệp nào chúng tôi đã thấy.
Bằng việc sử dụng các kỹ thuật tìm kiếm cơ bản, các nhà nghiên cứu có thể phát hiện vô số tài liệu có chứa các thông tin cá nhân, tìm thấy đủ các loại thông tin trong các tài liệu này.
Hãy cho cả thế giới biết bạn đang làm gì
Khẩu hiệu của Docs.com là "Share your work with the world" (Hãy cho cả thế giới biết bạn đang làm gì). Đây là cách để đưa các tài liệu Office lên web mà không cần lưu trữ chúng trên trang web của riêng bạn. Do đó, các tệp tin được đặt ở chế độ công khai mặc định, tuy nhiên, bạn có thể điều chỉnh cài đặt an ninh cho từng tài liệu. Phần lớn các dịch vụ, tài liệu trực tuyến, bao gồm Office Online của Microsoft và Google Docs, sẽ mặc định ở chế độ riêng tư, yêu cầu bạn cấp quyền trup cập một cách rõ ràng những tài liệu bạn muốn công khai.
Microsoft mặc định để chế độ công khai cho các tài liệu được tải lên trang web chia sẻ này, và có vẻ như nhiều người dùng không biết đến điều đó. Có nghĩa là bất cứ ai cũng có thể tìm kiếm các thông tin cá nhân nhạy cảm trên Docs.com nếu thông tin đó không được cài đặt chế độ riêng tư một cách thủ công. Các thông tin có thể bao gồm số an sinh xã hội, số thẻ bảo hiểm y tế, hồ sơ ngân hàng, đơn xin việc, chi tiết liên lạc cá nhân, giấy tờ pháp lý và số giấy phép lái xe chỉ với vài phút tìm kiếm.
Vấn đề này được phát hiện gần đây bởi các nhà nghiên cứu an ninh và được đăng tải bởi ZDNet ngày 26/3. Trong một thời gian ngắn, Microsoft đã gỡ bỏ chức năng tìm kiếm mở rộng trên Docs.com nhưng sáng 27/3 chức năng đã trở lại.
Bằng việc sử dụng các kỹ thuật tìm kiếm cơ bản, các nhà nghiên cứu có thể phát hiện ra vô số tài liệu có chứa các thông tin cá nhân, tìm thấy đủ các loại thông tin trong các tài liệu đẩy người dùng vào các cuộc tấn công đánh cắp thông tin nhận diện và lừa đảo. Do tính nhạy cảm của thông tin, chúng tôi sẽ không công khai hoặc gửi link bất kỳ tệp nào chúng tôi đã thấy.
Bằng việc sử dụng các kỹ thuật tìm kiếm cơ bản, các nhà nghiên cứu có thể phát hiện vô số tài liệu có chứa các thông tin cá nhân, tìm thấy đủ các loại thông tin trong các tài liệu này.
Hãy cho cả thế giới biết bạn đang làm gì
Khẩu hiệu của Docs.com là "Share your work with the world" (Hãy cho cả thế giới biết bạn đang làm gì). Đây là cách để đưa các tài liệu Office lên web mà không cần lưu trữ chúng trên trang web của riêng bạn. Do đó, các tệp tin được đặt ở chế độ công khai mặc định, tuy nhiên, bạn có thể điều chỉnh cài đặt an ninh cho từng tài liệu. Phần lớn các dịch vụ, tài liệu trực tuyến, bao gồm Office Online của Microsoft và Google Docs, sẽ mặc định ở chế độ riêng tư, yêu cầu bạn cấp quyền trup cập một cách rõ ràng những tài liệu bạn muốn công khai.
Nguồn: PCWorld
Chỉnh sửa lần cuối: