Nền tảng do Micorosoft hỗ trợ làm lộ lọt 38 triệu bản ghi thông tin cá nhân

Nhóm nghiên cứu UpGuard Research vừa tiết lộ: 'Các kiểu dữ liệu bị lộ lọt ở các cổng là khác nhau, bao gồm thông tin cá nhân được sử dụng để theo dõi kết nối tình hình Covid-19, các cuộc hẹn tiêm chủng Covid-19, số an sinh xã hội cho người xin việc, ID nhân viên và hàng triệu tên cùng địa chỉ email'.

Nền tảng do Micorosoft hỗ trợ làm lộ lọt 38 triệu bản ghi thông tin cá nhân


Các cơ quan chính quyền bang như Indiana, Maryland và thành phố New York cùng các công ty tư nhân như American Airlines, Ford, J.B. Hunt và Microsoft được cho là đã bị ảnh hưởng. Trong số những thông tin nhạy cảm nhất bị lộ lọt có 332.000 địa chỉ email và ID nhân viên được các dịch vụ tính lương toàn cầu của Microsft sử dụng cũng như hơn 85.000 bản ghi liên quan tới hệ thống hỗ trợ kinh doanh (Business Tools Support) và các cổng thực tế hỗn hợp tăng cường (Mixed Reality).

Power Apps là một nền tảng phát triển do Microsoft hỗ trợ để xây dựng các ứng dụng kinh doanh tùy chỉnh theo phương pháp phát triển phần mềm low-code hoạt động trên thiết bị di động và web bằng cách sử dụng các mẫu dựng sẵn, ngoài ra còn cung cấp các API cho phép các ứng dụng khác truy nhập vào dữ liệu, bao gồm các tùy chọn để truy xuất và lưu giữ thông tin. 

Công ty mô tả dịch vụ này là 'một bộ các ứng dụng, dịch vụ và trình kết nối cũng như nền tảng dữ liệu, tạo môi trường phát triển nhanh để xây dựng các ứng dụng tùy chình cho các nhu cầu của doanh nghiệp'.

Tuy nhiên, một cấu hình sai trong cách một cổng thông tin chia sẻ và lưu trữ dữ liệu có thể dẫn đến tình huống dữ liệu nhạy cảm bị truy nhập công khai, gây nguy cơ rò rỉ dữ liệu.

Các nhà nghiên cứu cho biết: 'Những cổng Power Apps có các tùy chọn được xây dựng để chia sẻ dữ liệu, nhưng chúng cũng có các kiểu dữ liệu sẵn có vốn rất nhạy cảm. Trong các trường hợp như các trang đăng ký tiêm chủng Covid-19, có các loại dữ liệu được công khai như vị trí các điểm tiêm chủng, thời gian hẹn và dữ liệu nhạy cảm phải đặt ở chế độ riêng tư như thông tin nhận dạng cá nhân của những người được tiêm chủng'.

UpGuard cho biết, họ đã thông báo cho Microsoft về vụ rò rỉ dữ liệu vào ngày 24/6/2021 để công ty xử lý vụ việc này. Với lý do là 'do thiết kế', công ty đã có hành động để cảnh báo các khách hàng đám mây của chính phủ về vấn đề này sau khi có thêm một báo cáo lạm dụng do công ty bảo mật đệ trình vào ngày 15/7.

Ngoài ra, Microsoft đã phát hành một công cụ có tên là Portal Checker để phát hiện bất kỳ khả năng hiển thị nào phát sinh vì lý do sai cấu hình và đã tạo các bản cập nhật để 'các cổng mới được tạo sẽ có các quyền bắt buộc đối với bảng được thực thi cho bất kỳ các biểu mẫu và danh sách cài đặt Enable Table Permissions'.

Các nhà nghiên cứu lưu ý: 'Mặc dù chúng tôi hiểu (và đồng ý với) quan điểm của Microsoft rằng vấn đề ở đây không hoàn toàn là một lỗ hổng phần mềm mà là một vấn đề về nền tảng yêu cầu thay đổi mã cho sản phẩm và do đó đi cùng một loạt các lỗ hổng bảo mật. Việc thay đổi sản phẩm theo các hành vi của người dùng là một giải pháp tốt hơn là gán toàn bộ việc mất dữ liệu là do là cấu hình sai của người dùng cuối, cho phép sự cố tiếp diễn và khiến người dùng cuối phải chịu rủi ro về an ninh mạng do xâm phạm dữ liệu'./.


Theo the hackernews

TIN LIÊN QUAN

Microsoft có sự kiện về mixed-reality(AR) vào ngày 3/10, sẽ là một nguồn doanh thu lớn?

Theo trang ZDNet, ít có khả năng Microsoft sẽ ra mắt phần cứng mới tại đây, chủ yếu hãng sẽ nói về kế hoạch và tầm nhìn của mình cho mixed-reality, cách công ty kiếm tiền từ nó ra sao, làm thế nào có thể khuyến khích cộng đồng phát triển nội dung

Microsoft ra mắt gói giải pháp trên nền tảng đám mây dành cho các doanh nghiệp vừa và nhỏ

Với giải pháp này, nhân viên trong các công ty sẽ có thể làm việc chỉ động hơn cùng các công cụ quen thuộc như Word, Excel, PowerPoint, Outlook, OneNote và Access.

Microsoft bị lộ dữ liệu khách hàng , 65.000 công ty bị ảnh hưởng

Nhà cung cấp bảo mật mạng SOCRadar gần đây đã thông báo cho Microsoft về một vụ vi phạm dữ liệu lớn. Họ tuyên bố rằng hơn 2,4 terabyte dữ liệu nhạy cảm của khách hàng đã bị xâm phạm và 65.000 công ty bị ảnh hưởng.

Tại sao Microsoft 365 cần được ưu tiên bảo mật 24/7?

Sử dụng dịch vụ Microsoft 365 tuy dễ dàng, tiện lợi, nhưng bạn đã thực hiện các bước để bảo vệ tất cả dữ liệu mà công ty mình đang lưu trữ trong dịch vụ đó chưa

Thủ tướng chỉ thị triển khai giải pháp tổ chức dạy học an toàn, bảo đảm chất lượng giáo dục, đào tạo ứng phó với đại dịch COVID-19

Thủ tướng Chính phủ Phạm Minh Chính vừa ký ban hành Chỉ thị số 24/CT-TTg về việc đẩy mạnh triển khai các nhiệm vụ, giải pháp tổ chức dạy học an toàn, bảo đảm chương trình và mục tiêu chất lượng giáo dục, đào tạo ứng phó với đại dịch COVID-19.

Trend Micro phát triển một lớp bảo vệ mới để tích hợp thêm vào các dịch vụ bảo mật email

Trong thời gian nửa đầu năm 2018, Trend Micro đã ngăn chặn hơn 20,4 tỷ mối đe dọa, gần 83% trong số đó được phát hiện từ email. Chính vì vậy, Trend Micro đã phát triển một lớp bảo vệ mới để tích hợp thêm vào các dịch vụ bảo mật email: đó là khả

FPT eCovax giúp tăng cường “kháng thể số” cho DN vận hành không gián đoạn trong Covid-19

Với mong muốn đồng hành với các doanh nghiệp DN vượt qua những thách thức của đại dịch, FPT đã triển khai miễn phí một năm chương trình FPT eCovax với kỳ vọng giúp các DN bổ sung những kháng thể số để kinh doanh không gián đoạn.

Phát triển thành phố thông minh ở Châu Á: Lấy người dân làm trung tâm

Trong bối cảnh đại dịch Covid-19 vẫn đang diễn ra và tác động tiêu cực trên toàn cầu cùng với những ảnh hưởng của biến đổi khí hậu ngày càng rõ nét, thì yêu cầu phát triển đô thị thông minh ĐTTM bền vững là hết sức cần thiết, đặc biệt là ở khu vực

THỦ THUẬT HAY

Sửa lỗi Class not Registered trên trình duyệt Chrome nhanh nhất

Lỗi Class not Registered trên trình duyệt Chrome khiến người dùng không thể sử dụng Chrome để duyệt web. Để khắc phục lỗi này, người dùng nên áp dụng 2 cách sửa lỗi Class not Registered trên trình duyệt Google Chrome

Khắc phục và xử lý những lỗi thường gặp khi duyệt Web

Sử dụng trình duyệt web để làm việc hay cập nhật các thông tin thường nhật là việc làm thường ngày của mỗi người. Tuy nhiên đâu đó vẫn có khá nhiều người dùng thường xuyên gặp các lỗi phát sinh trong khi sử dụng. Bài

Cách lưu lại tất cả link trên Safari với iOS 15 cực kỳ hữu ích

Việc chạy cùng lúc nhiều link trên Safari không được khuyến khích, bạn phải tắt chúng đi để trình duyệt web của mình gọn gàng hơn. Đôi lúc cần những link quan trọng từng truy cập nhưng không tìm thấy, điều này sẽ được

Đánh giá 10 Hosting tốt nhất năm đầu năm 2015

Dựa vào bảng xếp hạng 'Top những hosting tốt nhất cuối năm 2014 và đầu năm 2015' của website đánh giá nổi tiếng toptenreviews.com. Sau đây TCN sẽ điểm danh từng nhà cung cấp Hosting có số điểm cao nhất trong bảng xếp

Hướng dẫn tạo USB chạy Windows 11 trực tiếp

Mặc dù Microsoft đã từ bỏ dự án “Windows To Go” vào năm 2019. Nhưng nếu muốn bạn vẫn có thể sử dụng công cụ Rufus để tạo phiên bản “Windows to Go” của Windows 11 theo cách dưới đây.

ĐÁNH GIÁ NHANH

Đánh giá chi tiết xe BMW 7 Series 2019

Sang trọng và đẳng cấp là định nghĩa đơn giản nhất về BMW 7 Series 2019, đây là dòng xe biểu tượng cho sự thành công của thương hiệu BMW. Với công nghệ tiên phong bậc nhất, tiện nghi chuẩn

Đánh giá giao diện iOS 10: Thú vị, mới mẻ, nhiều chức năng hơn bao giờ hết

Như vậy, người dùng đã có thể cài đặt trước hệ điều hành iOS 10 chính thức trên iPhone và iPad. Vậy phiên bản này có gì mới?

Đánh giá Oppo F3: Selfie góc rộng có đáng tiền?

Năm ngoái, Oppo bán tổng cộng 1 triệu chiếc F1s tại Việt Nam. Với thành công này, không có lý do gì hãng không tung ra phiên bản kế nhiệm của nó, lấy tính năng chụp ảnh selfie làm trung tâm.