Szerző: Habók Lilla

2017. március 28. 13:16:00

Bizalmas és érzékeny információk is kikerültek a Docs.com-ra

Arra lettek figyelmesek a biztonsági kutatók, hogy a Microsofthoz tartozó Docs.com keresőjéből rengeteg olyan érzékeny információ elérhető, amelyet a felhasználók valószínűleg nem akartak nyilvánossá tenni, csak nem korlátozták le a megosztás körét.

Számos olyan érzékeny információ is megtalálható a Microsoft-féle Docs.com online dokumentummegosztó rendszer keresőmezőjén keresztül, amelyet a felhasználók nem a nyilvánosságnak szántak. A problémára Kevin Beaumont biztonsági kutató lett figyelmes, aki Twitteren tett közzé néhány képet olyan "bizalmas" elnevezésű fájlokról, amelyet biztosan nem nagyközönségnek szánt a dokumentumok készítője. Ráadásul ehhez elég volt a keresőmezőbe például a jelszó, a társadalombiztosítási azonosító vagy a számlaszám kifejezéseket begépelni.

A Microsoft-féle Docs.com megoldás lényege, hogy a dokumentumok megoszthatóak nyilvánosan a rendszeren keresztül, de "tetszés szerint korlátozható a láthatóságuk" a weboldal megfogalmazása szerint. Feltölthetőek ezen keresztül Word, Excel, PowerPoint vagy PDF fájlok, illetve importálhatóak OneDrive-ból, OneNote-ból, Sway-ből, Office Mixből, vagy akár közvetlenül a felhasználó számítógépéről. A problémát azonban az jelentette, hogy a dokumentumok a keresőmotorok számára bejárhatóak voltak, így a Docs.com, a Google és a Bing számára is. A felhasználók pedig nem csak olyan információkat osztottak meg, amelyeket a nyilvánosságnak szántak, hanem bizalmas cégen belüli információkat is - viszont feltehetően nem figyeltek eléggé a dokumentumok láthatóságának beállításaira.

Az oldal ugyan közli (például a súgóban), hogy a nyilvános láthatósággal közzétett tartalmak megjelennek a keresőmotorok találatai között, és mások is megoszthatják a webhelyeken, ezt a felhasználók vagy nem olvasták el vagy nem voltak tisztában a következményekkel. A "korlátozott" és a "szervezet" láthatósággal közzétett tartalmak azok, amelyek nem jelennek meg a keresőmotorok találatai közt, és csak az adott link vagy a munkahelyi fiókok birtokosai férhetnek hozzá.

Google-ben is kereshetőek a Docs dokumentumai (Forrás: Kevin Beaumont)

Machine learning és Scrum alapozó képzések indulnak! (x) A HWSW októberben induló gyakorlatorientált, 10 alkalmas, 30 órás online képzéseire most early bird kedvezménnyel lehet regisztrálni!

Később más biztonsági szakértők és az Ars Technica is felfedezett érzékeny információkat a feltöltések között, mint például jelszavak különböző eszközökhöz, köztük például fémérzékelőkhöz. Egészségügyi adatok a kezelések időpontjaival és fotókkal, valamint az orvosi rendszer belépési információival. Továbbá nyilvánosságra került egy pénzügyi- és hitelügyintéző intézmény adósság végrehajtó listája nevekhez és címekhez köthető személyes adatokkal, mint például bankszámlaszámokkal és telefonszámokkal. Az Ars Technica megpróbált felkeresni több olyan személyt, akiknek az adatai ilyen formában nyilvánosságra kerültek, de a dokumentumban megadott telefonszám sok esetben nem volt kapcsolható - azonban attól még például a cím és a társadalombiztosítási szám továbbra is érvényben lehet.

A Microsoft első lépésként eltávolította a keresőmezőt a főoldalról, azonban az aloldalakon továbbra is elérhető maradt, valamint a fájlokra a nyilvános keresőkön keresztül is rá lehetett keresni. Később a fejlesztők változtattak ez utóbbin, letiltottak a Google keresőből érkező néhány linket. Ezt követően viszont a keresőmező visszakerült a főoldalra, ahonnan továbbra is elérhetőek például a személyes egészségügyi adatok. A szóvivő mindezzel kapcsolatban csak a következő közleményt küldte az Ars Technikának: "A Docs.com a felhasználók dokumentumainak közzétételét és megosztását végzi. A fogyasztók védelméről szóló kötelezettségeink részeként lépéseket teszünk annak érdekében, hogy segítsük azokat, akiknek nem kívánt módon közölték a bizalmas adatait. A felhasználók a Docs.com fiókjukban tekinthetik meg és frissíthetik beállításaikat."

Az eset rávilágít a felhős adattárolás veszélyeire, amelyben körültekintőbben kell viselkednie a vállalatoknak és az információkat felelőtlenül megosztó felhasználóknak is. A megosztott információkkal ráadásul a dokumentumok feltöltői a saját biztonságukon kívül másokét is veszélyeztették azzal, hogy személyes adataikat közzétették, és feltehetően sokan még most sem értesültek róla.

a címlapról