导语:近日,根据外媒报道,微软文档共享站点Docs.com上的搜索功能允许任何人搜索数百万个包含敏感及个人信息的文件。

2015年8月,微软向大众用户推出了全球文档共享服务平台—Docs.com。通过该平台,用户可轻松向全球网友分享Word、PowerPoint、Excel、PDF、Office Mix还有Sway文档。

 mp25687564_1438662188906_3_th.jpeg

但是坏消息是,近日,根据外媒报道,微软文档共享站点Docs.com上的搜索功能允许任何人搜索数百万个包含敏感及个人信息的文件。

据悉,Docs.com服务允许用户从自己的本地电脑或OneDrive上传文档,上传文档后可通过短链接进行分享。你的好友可通过链接在网页中直接查看文档。除了分享单个文件外,用户还可以创建文档集合,类似于为文档创建“相册集”,并且可以分享集合。

微软提供的产品说明提到,Docs.com是一个在线展厅,你可以收集和发布Word文档、Excel工作簿、PowerPoint和Office Mix演示文稿、OneNote笔记本、PDF文件、Sway story以及Minecraft worlds等,使用Docs.com,你可以轻松地与他人分享你的兴趣。你公开发布的任何内容都会显示在全球搜索引擎结果中,而你发布的有限可见性的内容都不会显示在搜索结果中,只能由拥有内容链接的人查看。同样,你发布的任何组织可见性内容也不会出现在搜索结果中,只有拥有你学校或组织工作账户的人员可以登录查看。

本周末,一组安全专家决定对该服务进行分析,寻找高度隐私性信息。他们开始在文件和文档中搜索包含“密码”和“机密”等关键词,不幸的是,他们发现Microsoft有一个名为https://t.co/3TC07CB8gE的网站,在那里Office 365客户可以公开分享任何内容,它具有搜索功能。

成千上万的用户已经通过Docs.com意外地分享了个人隐私数据,专家查阅相关文件后发现,用户曝光的文件中包含银行账户详细信息、密码列表、驾驶执照号、日期出生、电话号码、电子邮件、医疗记录、社会保障号码、投资组合甚至是离婚结算协议等。

Docs.com-data-leak.jpeg

如你所知,这些信息可谓是网络犯罪分子的“宝库”,可以被用于非法目的,例如金融诈骗以及身份盗用等。

至于事件原因,显然是用户无意中将敏感文件标记为公开文件,导致微软搜索引擎发现了它们。安全研究人员发现这一问题后,微软已经选择暂时关闭了该网站的搜索功能。不幸的是,这种措施不足以删除互联网上已经被意外分享出去的信息,因为这些包含敏感和个人信息的文件仍然缓存在Google的搜索结果中,而微软自己的搜索引擎Bing也可以搜索到。

微软的一位发言人表示,

作为我们保护用户的承诺的一部分,我们正在采取措施帮助那些可能无意中发布了敏感信息的用户,用户们可以通过登录www.docs.com的帐户来查看和更新他们的设置。

每次使用Web服务时,必须检查安全和隐私设置以避免这种问题再次发生。对于此次安全事件,还请检查您和您的同事是否已将Docs.com上的信息共享标签设为公开。

源链接

Hacking more

...