นักวิจัยด้านความปลอดภัยพบผู้ใช้จำนวนมากอาจแชร์เอกสารจาก Office 365 ไปบน docs.com โดยไม่รู้ตัว

Office 365 นั้นเปิดให้ผู้ใช้บริการทั้งแบบองค์กรและส่วนตัวแชร์เอกสารแบบสาธารณะได้ผ่านเว็บไซต์ docs.com ซึ่งอนุญาตให้ผู้เข้าชม search, download, และ bookmark ไฟล์ได้ และบนเว็บไซต์นี้เองที่ Kevin Beaumont นักวิจัยด้านความปลอดภัยพบเอกสารซึ่งมีข้อมูลลับและข้อมูลความเป็นส่วนตัวจำนวนมาก

เว็บไซต์ Ars Technica ตั้งข้อสันนิษฐานว่าผู้ใช้บริการ Office 365 จำนวนมากอัพโหลดเอกสารขึ้น docs.com เพื่อส่งเอกสารต่อไปยังเพื่อนร่วมงานหรือคนอื่นๆนอกองค์กร โดยไม่รู้ตัวว่าเอกสารเหล่านั้นสามารถถูกค้นหาได้ผ่านช่องค้นหาหน้าเว็บไซต์อย่างง่ายดาย ด้วยการพิมพ์คำค้นหาเช่น “confidential”

เพียงไม่กี่ชั่วโมงหลัง Kevin เจอความสามารถดังกล่าวของช่องค้นหานี้ เขาและนักวิจัยด้านความปลอดภัยคนอื่นๆได้ค้นพบเอกสารจำนวนมากที่เป็นเอกสารลับและมีข้อมูลความเป็นส่วนตัวของผู้ใช้ เช่น เอกสารที่มีชื่อ login และ password เข้าระบบ เอกสารที่มีข้อมูลชื่อ ที่อยู่ เลขประกันสังคม เลขบัญชีธนาคาร อีเมล์ และเบอร์โทรศัพท์ เอกสารข้อมูลทางการแพทย์ของผู้ป่วยที่มีรูปภาพและรหัสผ่านสำหรับเข้าระบบ เป็นต้น

เบื้องต้นหลังทราบข่าว Microsoft ได้มีการระงับช่องค้นหาเป็นระยะเวลาสั้นๆก่อนจะนำมันกลับขึ้นมาอีกครั้ง และโดยล่าสุดยังสามารถค้นหาเอกสารผ่านช่องค้นหาหน้าเว็บและ search engine อย่าง google และ bing ได้อยู่ โฆษกของไมโครซอฟต์ได้แถลงกับ Ars ว่ากำลังดำเนินการให้ความช่วยเหลือผู้ใช้ที่ได้อัพโหลดเอกสารที่มีข้อมูลลับโดยไม่รู้ตัว และแนะนำให้ผู้ใช้เข้าไปเปลี่ยนแปลงการตั้งค่าความเป็นส่วนตัวได้ในเว็บไซต์ www.docs.com

 

ที่มา: https://arstechnica.com/security/2017/03/doxed-by-microsofts-docs-com-users-unwittingly-shared-sensitive-docs-publicly/


Check Also

Microsoft เผยการยับยั้งการ DDoS ขนาด 3.47 Tbps ไว้ได้ด้วย Azure DDoS Protection

Microsoft ได้ออกมาเปิดเผยเหตุการณ์ที่แพลตฟอร์ม Azure DDoS Protection สามารถช่วยป้องกันการระดมโจมตีขนาด 3.47 Tbps เอาไว้

AWS เปิดตัว EC2 รุ่นใหม่รองรับงานออกแบบอิเล็กทรอนิกส์

EC2 รุ่นใหม่หรือ X2iezn นี้ไม่ใช่ครั้งที่ Amazon ประกาศออกมาเพื่อรองรับงานด้าน Electronic Design Automation (EDA)