Nhóm nghiên cứu UpGuard Research vừa tiết lộ: "Các kiểu dữ liệu bị rò rỉ ở các cổng là khác nhau, bao gồm được sử dụng để theo dõi kết nối tình hình dịch bệnh Covid-19, các lịch hẹn tiêm chủng vacxin Covid-19, số an sinh xã hội cho người xin việc, ID nhân viên và hàng triệu tên cùng địa chỉ email".
Các cơ quan chính quyền Indiana, Maryland và thành phố New York cùng các công ty tư nhân như American Airlines, Ford, J.B. Hunt và Microsoft được cho là đã bị ảnh hưởng. Trong số những thông tin nhạy cảm bị lộ lọt có 332.000 địa chỉ email và ID nhân viên được các dịch vụ tính lương toàn cầu của Microsft sử dụng và hơn 85.000 bản ghi liên quan tới hệ thống hỗ trợ kinh doanh cùng các cổng thực tế hỗn hợp tăng cường (Mixed Reality).
Power Apps là một nền tảng phát triển do hỗ trợ để xây dựng các ứng dụng kinh doanh tùy chỉnh theo phương pháp phát triển phần mềm low-code hoạt động trên thiết bị di động và web bằng cách sử dụng các mẫu dựng sẵn, ngoài ra còn cung cấp các API cho phép các ứng dụng khác truy nhập vào dữ liệu, bao gồm các tùy chọn để truy xuất và lưu giữ thông tin.
Dịch vụ này là một bộ các ứng dụng, trình kết nối và nền tảng dữ liệu, tạo môi trường phát triển nhanh để xây dựng các ứng dụng tùy chình cho các nhu cầu của doanh nghiệp. Tuy nhiên, cấu hình sai trong cách cổng thông tin chia sẻ và lưu trữ dữ liệu có thể dẫn đến tình huống dữ liệu nhạy cảm bị truy nhập công khai, gây nguy cơ rò rỉ dữ liệu.
Các nhà nghiên cứu cho biết: "Những cổng Power Apps có các tùy chọn được xây dựng để chia sẻ dữ liệu, nhưng chúng cũng có sẵn nhiều dữ liệu nhạy cảm. Trong các trường hợp như các trang đăng ký tiêm chủng vacxin Covid-19 có các loại dữ liệu được công khai như vị trí các điểm tiêm chủng, thời gian hẹn và dữ liệu nhạy cảm phải đặt ở chế độ riêng tư như thông tin nhận dạng cá nhân của những người được tiêm chủng".
Hiện Microsoft đã được thông báo về vụ rò rỉ dữ liệu này và đã cảnh báo các khách hàng đám mây của chính phủ về vấn đề này. Ngoài ra, Microsoft đã phát hành công cụ có tên là Portal Checker để phát hiện bất kỳ khả năng hiển thị nào phát sinh vì lý do sai cấu hình, đồng thời phát hành các bản cập nhật để các cổng mới được tạo sẽ có các quyền bắt buộc đối với bảng được thực thi cho bất kỳ các biểu mẫu và danh sách cài đặt Enable Table Permissions.
Các nhà nghiên cứu cảnh báo: "Mặc dù Microsoft cho rằng vấn đề ở đây không hoàn toàn là một mà là một vấn đề về nền tảng yêu cầu thay đổi mã cho sản phẩm, do đó sẽ đi kèm một loạt các lỗ hổng bảo mật. Việc thay đổi sản phẩm theo các hành vi của người dùng là một giải pháp tốt hơn là gán toàn bộ việc mất dữ liệu là do là cấu hình sai của người dùng cuối, cho phép sự cố tiếp diễn và khiến người dùng cuối phải chịu rủi ro về an ninh mạng do xâm phạm dữ liệu".
Trần Thanh Tùng
09:42 | 27/08/2014
07:00 | 02/12/2021
07:00 | 18/09/2023
07:00 | 08/11/2021
18:00 | 27/01/2022
13:00 | 14/09/2021
16:00 | 06/04/2021
13:00 | 06/07/2021
13:00 | 11/11/2024
Bảy gia đình tại Pháp đã đệ đơn kiện TikTok, cáo buộc nền tảng này cho con của họ tiếp xúc với nội dung độc hại, dẫn đến hai trường hợp tự sát ở tuổi 15.
20:00 | 21/10/2024
Chiều ngày 21/10, tại Hà Nội, Viện nghiên cứu 486 (Bộ Tư lệnh 86) tổ chức Hội thảo khoa học với chủ đề “An toàn thông tin trong chuyển đổi số, xu thế và công nghệ”. Hội thảo tập trung trao đổi, thảo luận về thực trạng, nhu cầu và các giải pháp công nghệ trong việc chuyển đổi số tại các cơ quan, đơn vị trong và ngoài Quân đội; các vấn đề kỹ thuật, công nghệ trong triển khai chuyển đổi số gắn với an toàn thông tin, an ninh mạng hiện nay.
12:00 | 03/10/2024
Trong 6 tháng đầu năm, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05, Bộ Công an) đã phát hiện và xử lý 20 sự cố tấn công mạng đặc biệt nghiêm trọng, nổi lên là hoạt động tấn công mã hoá dữ liệu, đòi tiền chuộc nhắm vào các tập đoàn, doanh nghiệp tài chính.
10:00 | 28/09/2024
Sáng 28/9, tại Hà Nội, Học viện Kỹ thuật Mật mã (Ban Cơ yếu Chính phủ) đã chính thức khai mạc cuộc thi “An toàn và Bảo mật thông tin toàn quốc CIS 2024”. Đây là lần đầu tiên cuộc thi được Học viện Kỹ thuật mật mã phối hợp với các cơ quan chuyên trách của Ban Cơ yếu Chính phủ tổ chức. Sự kiện đã thu hút sự tham gia của 29 đội tuyển đến từ 16 trường đại học trên cả nước.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Bảy gia đình tại Pháp đã đệ đơn kiện TikTok, cáo buộc nền tảng này cho con của họ tiếp xúc với nội dung độc hại, dẫn đến hai trường hợp tự sát ở tuổi 15.
13:00 | 11/11/2024
Trong hai ngày 30, 31/10, tại Hà Nội, Cục Viễn thông và Cơ yếu Bộ Công an đã tổ chức Hội thi Kỹ thuật nghiệp vụ mật mã lực lượng Cơ yếu Công an nhân dân năm 2024, với sự tham gia của 136 tuyển thủ xuất sắc đại diện cho 68 cơ quan công an các đơn vị, địa phương trên toàn quốc thi đua, tranh tài.
07:00 | 01/11/2024
Không chỉ dừng lại ở việc trò chuyện, ChatGPT nay đã được OpenAI trang bị thêm tính năng tìm kiếm với sự hỗ trợ của AI, hứa hẹn tạo nên làn sóng cạnh tranh mới trong lĩnh vực tìm kiếm trực tuyến vốn đang bị thống trị bởi Google.
13:00 | 11/11/2024
