您是Docs.com用戶嗎？注意你的密碼可能已經泄露了

2015年8月，微軟向大眾用戶推出了全球文檔共享服務平台—http://Docs.com。通過該平台，用戶可輕鬆向全球網友分享Word、PowerPoint、Excel、PDF、Office Mix還有Sway文檔。

但是壞消息是，近日，根據外媒報道，微軟文檔共享站點http://Docs.com上的搜索功能允許任何人搜索數百萬個包含敏感及個人信息的文件。

據悉，http://Docs.com服務允許用戶從自己的本地電腦或OneDrive上傳文檔，上傳文檔後可通過短鏈接進行分享。你的好友可通過鏈接在網頁中直接查看文檔。除了分享單個文件外，用戶還可以創建文檔集合，類似於為文檔創建「相冊集」，並且可以分享集合。

微軟提供的產品說明提到，http://Docs.com是一個在線展廳，你可以收集和發布Word文檔、Excel工作簿、PowerPoint和Office Mix演示文稿、OneNote筆記本、PDF文件、Sway story以及Minecraft worlds等，使用http://Docs.com，你可以輕鬆地與他人分享你的興趣。你公開發布的任何內容都會顯示在全球搜索引擎結果中，而你發布的有限可見性的內容都不會顯示在搜索結果中，只能由擁有內容鏈接的人查看。同樣，你發布的任何組織可見性內容也不會出現在搜索結果中，只有擁有你學校或組織工作賬戶的人員可以登錄查看。

本周末，一組安全專家決定對該服務進行分析，尋找高度隱私性信息。他們開始在文件和文檔中搜索包含「密碼」和「機密」等關鍵詞，不幸的是，他們發現Microsoft有一個名為https://t.co/3TC07CB8gE的網站，在那裡Office 365客戶可以公開分享任何內容，它具有搜索功能。

成千上萬的用戶已經通過http://Docs.com意外地分享了個人隱私數據，專家查閱相關文件後發現，用戶曝光的文件中包含銀行賬戶詳細信息、密碼列表、駕駛執照號、日期出生、電話號碼、電子郵件、醫療記錄、社會保障號碼、投資組合甚至是離婚結算協議等。

如你所知，這些信息可謂是網路犯罪分子的「寶庫」，可以被用於非法目的，例如金融詐騙以及身份盜用等。

至於事件原因，顯然是用戶無意中將敏感文件標記為公開文件，導致微軟搜索引擎發現了它們。安全研究人員發現這一問題後，微軟已經選擇暫時關閉了該網站的搜索功能。不幸的是，這種措施不足以刪除互聯網上已經被意外分享出去的信息，因為這些包含敏感和個人信息的文件仍然緩存在Google的搜索結果中，而微軟自己的搜索引擎Bing也可以搜索到。

微軟的一位發言人表示，

作為我們保護用戶的承諾的一部分，我們正在採取措施幫助那些可能無意中發布了敏感信息的用戶，用戶們可以通過登錄Docs.com的帳戶來查看和更新他們的設置。

每次使用Web服務時，必須檢查安全和隱私設置以避免這種問題再次發生。對於此次安全事件，還請檢查您和您的同事是否已將http://Docs.com上的信息共享標籤設為公開。

本文參考來源於securityaffairs，如若轉載，請註明來源於嘶吼： 您是Docs.com用戶嗎？注意你的密碼可能已經泄露了 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：