標籤:

您是Docs.com用戶嗎?注意你的密碼可能已經泄露了

2015年8月,微軟向大眾用戶推出了全球文檔共享服務平台—Docs.com。通過該平台,用戶可輕鬆向全球網友分享Word、PowerPoint、Excel、PDF、Office Mix還有Sway文檔。

但是壞消息是,近日,根據外媒報道,微軟文檔共享站點Docs.com上的搜索功能允許任何人搜索數百萬個包含敏感及個人信息的文件。

據悉,Docs.com服務允許用戶從自己的本地電腦或OneDrive上傳文檔,上傳文檔後可通過短鏈接進行分享。你的好友可通過鏈接在網頁中直接查看文檔。除了分享單個文件外,用戶還可以創建文檔集合,類似於為文檔創建「相冊集」,並且可以分享集合。

微軟提供的產品說明提到,Docs.com是一個在線展廳,你可以收集和發布Word文檔、Excel工作簿、PowerPoint和Office Mix演示文稿、OneNote筆記本、PDF文件、Sway story以及Minecraft worlds等,使用Docs.com,你可以輕鬆地與他人分享你的興趣。你公開發布的任何內容都會顯示在全球搜索引擎結果中,而你發布的有限可見性的內容都不會顯示在搜索結果中,只能由擁有內容鏈接的人查看。同樣,你發布的任何組織可見性內容也不會出現在搜索結果中,只有擁有你學校或組織工作賬戶的人員可以登錄查看。

本周末,一組安全專家決定對該服務進行分析,尋找高度隱私性信息。他們開始在文件和文檔中搜索包含「密碼」和「機密」等關鍵詞,不幸的是,他們發現Microsoft有一個名為t.co/3TC07CB8gE的網站,在那裡Office 365客戶可以公開分享任何內容,它具有搜索功能。

成千上萬的用戶已經通過Docs.com意外地分享了個人隱私數據,專家查閱相關文件後發現,用戶曝光的文件中包含銀行賬戶詳細信息、密碼列表、駕駛執照號、日期出生、電話號碼、電子郵件、醫療記錄、社會保障號碼、投資組合甚至是離婚結算協議等。

如你所知,這些信息可謂是網路犯罪分子的「寶庫」,可以被用於非法目的,例如金融詐騙以及身份盜用等。

至於事件原因,顯然是用戶無意中將敏感文件標記為公開文件,導致微軟搜索引擎發現了它們。安全研究人員發現這一問題後,微軟已經選擇暫時關閉了該網站的搜索功能。不幸的是,這種措施不足以刪除互聯網上已經被意外分享出去的信息,因為這些包含敏感和個人信息的文件仍然緩存在Google的搜索結果中,而微軟自己的搜索引擎Bing也可以搜索到。

微軟的一位發言人表示,

作為我們保護用戶的承諾的一部分,我們正在採取措施幫助那些可能無意中發布了敏感信息的用戶,用戶們可以通過登錄Docs.com的帳戶來查看和更新他們的設置。

每次使用Web服務時,必須檢查安全和隱私設置以避免這種問題再次發生。對於此次安全事件,還請檢查您和您的同事是否已將Docs.com上的信息共享標籤設為公開。

本文參考來源於securityaffairs,如若轉載,請註明來源於嘶吼: 您是Docs.com用戶嗎?注意你的密碼可能已經泄露了 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀:

Windows Shellcode學習筆記——通過VirtualProtect繞過DEP
Hydra - Password Crack Tool
前NSA黑客逆向卡巴斯基殺軟,創建簽名檢測機密文件

TAG:信息安全 |