Nền tảng do Micorosoft hỗ trợ làm lộ lọt 38 triệu bản ghi thông tin cá nhân

Nhóm nghiên cứu UpGuard Research vừa tiết lộ: 'Các kiểu dữ liệu bị lộ lọt ở các cổng là khác nhau, bao gồm thông tin cá nhân được sử dụng để theo dõi kết nối tình hình Covid-19, các cuộc hẹn tiêm chủng Covid-19, số an sinh xã hội cho người xin việc, ID nhân viên và hàng triệu tên cùng địa chỉ email'.

Nền tảng do Micorosoft hỗ trợ làm lộ lọt 38 triệu bản ghi thông tin cá nhân


Các cơ quan chính quyền bang như Indiana, Maryland và thành phố New York cùng các công ty tư nhân như American Airlines, Ford, J.B. Hunt và Microsoft được cho là đã bị ảnh hưởng. Trong số những thông tin nhạy cảm nhất bị lộ lọt có 332.000 địa chỉ email và ID nhân viên được các dịch vụ tính lương toàn cầu của Microsft sử dụng cũng như hơn 85.000 bản ghi liên quan tới hệ thống hỗ trợ kinh doanh (Business Tools Support) và các cổng thực tế hỗn hợp tăng cường (Mixed Reality).

Power Apps là một nền tảng phát triển do Microsoft hỗ trợ để xây dựng các ứng dụng kinh doanh tùy chỉnh theo phương pháp phát triển phần mềm low-code hoạt động trên thiết bị di động và web bằng cách sử dụng các mẫu dựng sẵn, ngoài ra còn cung cấp các API cho phép các ứng dụng khác truy nhập vào dữ liệu, bao gồm các tùy chọn để truy xuất và lưu giữ thông tin. 

Công ty mô tả dịch vụ này là 'một bộ các ứng dụng, dịch vụ và trình kết nối cũng như nền tảng dữ liệu, tạo môi trường phát triển nhanh để xây dựng các ứng dụng tùy chình cho các nhu cầu của doanh nghiệp'.

Tuy nhiên, một cấu hình sai trong cách một cổng thông tin chia sẻ và lưu trữ dữ liệu có thể dẫn đến tình huống dữ liệu nhạy cảm bị truy nhập công khai, gây nguy cơ rò rỉ dữ liệu.

Các nhà nghiên cứu cho biết: 'Những cổng Power Apps có các tùy chọn được xây dựng để chia sẻ dữ liệu, nhưng chúng cũng có các kiểu dữ liệu sẵn có vốn rất nhạy cảm. Trong các trường hợp như các trang đăng ký tiêm chủng Covid-19, có các loại dữ liệu được công khai như vị trí các điểm tiêm chủng, thời gian hẹn và dữ liệu nhạy cảm phải đặt ở chế độ riêng tư như thông tin nhận dạng cá nhân của những người được tiêm chủng'.

UpGuard cho biết, họ đã thông báo cho Microsoft về vụ rò rỉ dữ liệu vào ngày 24/6/2021 để công ty xử lý vụ việc này. Với lý do là 'do thiết kế', công ty đã có hành động để cảnh báo các khách hàng đám mây của chính phủ về vấn đề này sau khi có thêm một báo cáo lạm dụng do công ty bảo mật đệ trình vào ngày 15/7.

Ngoài ra, Microsoft đã phát hành một công cụ có tên là Portal Checker để phát hiện bất kỳ khả năng hiển thị nào phát sinh vì lý do sai cấu hình và đã tạo các bản cập nhật để 'các cổng mới được tạo sẽ có các quyền bắt buộc đối với bảng được thực thi cho bất kỳ các biểu mẫu và danh sách cài đặt Enable Table Permissions'.

Các nhà nghiên cứu lưu ý: 'Mặc dù chúng tôi hiểu (và đồng ý với) quan điểm của Microsoft rằng vấn đề ở đây không hoàn toàn là một lỗ hổng phần mềm mà là một vấn đề về nền tảng yêu cầu thay đổi mã cho sản phẩm và do đó đi cùng một loạt các lỗ hổng bảo mật. Việc thay đổi sản phẩm theo các hành vi của người dùng là một giải pháp tốt hơn là gán toàn bộ việc mất dữ liệu là do là cấu hình sai của người dùng cuối, cho phép sự cố tiếp diễn và khiến người dùng cuối phải chịu rủi ro về an ninh mạng do xâm phạm dữ liệu'./.


Theo the hackernews

TIN LIÊN QUAN

Microsoft có sự kiện về mixed-reality(AR) vào ngày 3/10, sẽ là một nguồn doanh thu lớn?

Theo trang ZDNet, ít có khả năng Microsoft sẽ ra mắt phần cứng mới tại đây, chủ yếu hãng sẽ nói về kế hoạch và tầm nhìn của mình cho mixed-reality, cách công ty kiếm tiền từ nó ra sao, làm thế nào có thể khuyến khích cộng đồng phát triển nội dung

Microsoft ra mắt gói giải pháp trên nền tảng đám mây dành cho các doanh nghiệp vừa và nhỏ

Với giải pháp này, nhân viên trong các công ty sẽ có thể làm việc chỉ động hơn cùng các công cụ quen thuộc như Word, Excel, PowerPoint, Outlook, OneNote và Access.

Microsoft bị lộ dữ liệu khách hàng , 65.000 công ty bị ảnh hưởng

Nhà cung cấp bảo mật mạng SOCRadar gần đây đã thông báo cho Microsoft về một vụ vi phạm dữ liệu lớn. Họ tuyên bố rằng hơn 2,4 terabyte dữ liệu nhạy cảm của khách hàng đã bị xâm phạm và 65.000 công ty bị ảnh hưởng.

Tại sao Microsoft 365 cần được ưu tiên bảo mật 24/7?

Sử dụng dịch vụ Microsoft 365 tuy dễ dàng, tiện lợi, nhưng bạn đã thực hiện các bước để bảo vệ tất cả dữ liệu mà công ty mình đang lưu trữ trong dịch vụ đó chưa

Thủ tướng chỉ thị triển khai giải pháp tổ chức dạy học an toàn, bảo đảm chất lượng giáo dục, đào tạo ứng phó với đại dịch COVID-19

Thủ tướng Chính phủ Phạm Minh Chính vừa ký ban hành Chỉ thị số 24/CT-TTg về việc đẩy mạnh triển khai các nhiệm vụ, giải pháp tổ chức dạy học an toàn, bảo đảm chương trình và mục tiêu chất lượng giáo dục, đào tạo ứng phó với đại dịch COVID-19.

Trend Micro phát triển một lớp bảo vệ mới để tích hợp thêm vào các dịch vụ bảo mật email

Trong thời gian nửa đầu năm 2018, Trend Micro đã ngăn chặn hơn 20,4 tỷ mối đe dọa, gần 83% trong số đó được phát hiện từ email. Chính vì vậy, Trend Micro đã phát triển một lớp bảo vệ mới để tích hợp thêm vào các dịch vụ bảo mật email: đó là khả

FPT eCovax giúp tăng cường “kháng thể số” cho DN vận hành không gián đoạn trong Covid-19

Với mong muốn đồng hành với các doanh nghiệp DN vượt qua những thách thức của đại dịch, FPT đã triển khai miễn phí một năm chương trình FPT eCovax với kỳ vọng giúp các DN bổ sung những kháng thể số để kinh doanh không gián đoạn.

Phát triển thành phố thông minh ở Châu Á: Lấy người dân làm trung tâm

Trong bối cảnh đại dịch Covid-19 vẫn đang diễn ra và tác động tiêu cực trên toàn cầu cùng với những ảnh hưởng của biến đổi khí hậu ngày càng rõ nét, thì yêu cầu phát triển đô thị thông minh ĐTTM bền vững là hết sức cần thiết, đặc biệt là ở khu vực

THỦ THUẬT HAY

Tổng hợp bài văn khấn đêm giao thừa chuẩn nhất 2023

Trong tết cổ truyền Việt Nam, bài văn khấn luôn là điều linh thiêng, giúp gia chủ gửi gắm những lời thành tâm, mong cầu cho một năm mới an khang thịnh vượng. Trangcongnghe.vn đã tổng hợp tất cả các bài văn khấn đêm

Bí quyết trả lời 15 câu hỏi phỏng vấn thường gặp nhất

Không có công thức chung cho tất cả các câu trả lời nhưng ý định của nhà tuyển dụng khi đặt câu hỏi thường có thể đoán trước.

11 ứng dụng đang được miễn phí và giảm giá dành cho Android

Mời các bạn cùng xem và nhanh tay tải về một số ứng dụng, trò chơi đang đang được miễn phí hoặc giảm giá từ cửa hàng Google Play.

Cách sửa lỗi Pinterest không hoạt động trên iPhone, iPad

Thời gian gần đây khá nhiều người dùng phản ánh lại rằng trong quá trình sử dụng Pinterest bị lỗi “đóng băng” tạm thời, không hoạt động (Pinterest Not Working Issue). Bài viết này chúng tôi sẽ đề cập một số cách sửa

ĐÁNH GIÁ NHANH

Đánh giá chi tiết​ về LG G7 One mới ra mắt

Khá giống với phiên bản gốc, LG G7 One sở hữu thiết kế nhôm nguyên khối và có khả năng kháng nước, bụi bẩn chuẩn IP68. LG cũng áp dụng thiết kế kính mờ cho chiếc điện thoại nhưng nhìn vào có vẻ giống plastic hơn. Ngoài

Đánh giá HTC 10 evo- sát thủ phân khúc tầm trung

HTC 10 evo đang rất được kỳ vọng ở phân khúc giá 6 triệu khi đây từng là một mẫu smartphone cao cấp của HTC. HTC 10 evo có thiết kế kim loại nguyên khối và màn hình độ phân giải 2K siêu nét.

Đánh giá chi tiết iPhone 13 – Camera và pin được nâng cấp, hiệu năng vượt trội

iPhone 13 ra mắt với nhiều nâng cấp và cải tiến so với thế hệ trước. Nổi bật trong đó phải kể đến hiệu năng, camera và pin. Trong bài đánh giá chi tiết iPhone 13 dưới đây, mình sẽ chỉ ra từng cải tiến Apple đã áp dụng