นักวิจัยด้านความปลอดภัยพบผู้ใช้จำนวนมากอาจแชร์เอกสารจาก Office 365 ไปบน docs.com โดยไม่รู้ตัว

Office 365 นั้นเปิดให้ผู้ใช้บริการทั้งแบบองค์กรและส่วนตัวแชร์เอกสารแบบสาธารณะได้ผ่านเว็บไซต์ docs.com ซึ่งอนุญาตให้ผู้เข้าชม search, download, และ bookmark ไฟล์ได้ และบนเว็บไซต์นี้เองที่ Kevin Beaumont นักวิจัยด้านความปลอดภัยพบเอกสารซึ่งมีข้อมูลลับและข้อมูลความเป็นส่วนตัวจำนวนมาก

เว็บไซต์ Ars Technica ตั้งข้อสันนิษฐานว่าผู้ใช้บริการ Office 365 จำนวนมากอัพโหลดเอกสารขึ้น docs.com เพื่อส่งเอกสารต่อไปยังเพื่อนร่วมงานหรือคนอื่นๆนอกองค์กร โดยไม่รู้ตัวว่าเอกสารเหล่านั้นสามารถถูกค้นหาได้ผ่านช่องค้นหาหน้าเว็บไซต์อย่างง่ายดาย ด้วยการพิมพ์คำค้นหาเช่น “confidential”

เพียงไม่กี่ชั่วโมงหลัง Kevin เจอความสามารถดังกล่าวของช่องค้นหานี้ เขาและนักวิจัยด้านความปลอดภัยคนอื่นๆได้ค้นพบเอกสารจำนวนมากที่เป็นเอกสารลับและมีข้อมูลความเป็นส่วนตัวของผู้ใช้ เช่น เอกสารที่มีชื่อ login และ password เข้าระบบ เอกสารที่มีข้อมูลชื่อ ที่อยู่ เลขประกันสังคม เลขบัญชีธนาคาร อีเมล์ และเบอร์โทรศัพท์ เอกสารข้อมูลทางการแพทย์ของผู้ป่วยที่มีรูปภาพและรหัสผ่านสำหรับเข้าระบบ เป็นต้น

เบื้องต้นหลังทราบข่าว Microsoft ได้มีการระงับช่องค้นหาเป็นระยะเวลาสั้นๆก่อนจะนำมันกลับขึ้นมาอีกครั้ง และโดยล่าสุดยังสามารถค้นหาเอกสารผ่านช่องค้นหาหน้าเว็บและ search engine อย่าง google และ bing ได้อยู่ โฆษกของไมโครซอฟต์ได้แถลงกับ Ars ว่ากำลังดำเนินการให้ความช่วยเหลือผู้ใช้ที่ได้อัพโหลดเอกสารที่มีข้อมูลลับโดยไม่รู้ตัว และแนะนำให้ผู้ใช้เข้าไปเปลี่ยนแปลงการตั้งค่าความเป็นส่วนตัวได้ในเว็บไซต์ www.docs.com

 

ที่มา: https://arstechnica.com/security/2017/03/doxed-by-microsofts-docs-com-users-unwittingly-shared-sensitive-docs-publicly/


Check Also

Azure ประกาศเปิดทดลอง Geo Zone Redundant Storage

Azure ได้ประกาศเปิดทดลองใช้งาน Geo Zone Redundant Storage เพื่อตอบโจทย์อีกระดับของการปกป้องข้อมูลและ Availability

AWS เปิด API สำหรับทำ Kernel Panic เพื่อตรวจสอบ EC2 ที่ไม่ตอบสนอง

AWS ได้เพิ่มช่องทางให้ผู้ใช้งานสามารถตรวจสอบ EC2 ที่ไม่ตอบสนองได้ด้วย API ที่จะส่ง non-maskable interrupt (NMI) ไปยัง OS เพื่อให้เข้าสู่กระบวนการ Kernel Panic ให้ได้ข้อมูลที่ใช้ …