圖片來源: 

Docs.com

安全研究人員本周發現,微軟免費雲端文件共享平台Docs.com上用戶含有醫療、銀行帳號及員工資料等機密文件可以被公開搜尋,而且連密碼也能搜尋到。 

Docs.com是與Office 365.com連結的免費文件平台,Office 365用戶可用以和他人共享文件。3月25日研究人員Kevin Baumont發現,透過Docs.com首頁上的搜尋列,可以找到大量原本不應該公開的文件,像是一份含有多項裝置,包括金屬探測器及安全裝置在內的維修紀錄和密碼,小額信貸客戶的姓名、地址、銀行帳戶、社會安全號碼及電子郵件、醫師治療紀錄、相片、及電子病歷帳密,以及公司員工入社資料等等。其中有些只要輸入「password」或「帳號」等關鍵字就會出現。 

文章貼出不久後,微軟就將Docs.com首頁搜尋列移除,不過其實這些文件還是在網站上。許多文件還是可被Google、Bing搜尋引擎索引且搜尋到。Bauont發現即使到了3月27日,其中許多在Yahoo上還是搜尋得到。 

在出問題之前,微軟曾經對Office 365管理員發出Docs.com安全公告,表示由於該服務並未能完全滿足Office 365所有遵法框架,因此Office 365及Azure Tenant管理員必須選擇開啟,才能讓公司使用者使用Docs.com。  

周一微軟相繼採取一些措施,包括封鎖部份搜尋及切斷外部Google搜尋引擎的連線,不過狀況似乎尚未完全排除,詳細原因不明,微軟只對Ars TechnicaSC Media等媒體簡短表示,為確保用戶資料安全,該公司已經採取行動協助機密文件意外公開的用戶解決資料外洩情況。


Advertisement

更多 iThome相關內容