Rò rỉ 38 triệu bản ghi thông tin cá nhân từ nền tảng ứng dụng Microsoft Power

07:00 | 01/09/2021 | AN TOÀN THÔNG TIN

Hơn 38 triệu bản ghi từ 47 đơn vị khác nhau dựa trên nền tảng cổng ứng dụng Power Apps của Microsoft đã vô tình bị lộ lọt trực tuyến. Điều này cho thấy một xu hướng tiếp xúc dữ liệu mới đáng lo ngại.

Rò rỉ 38 triệu bản ghi thông tin cá nhân từ nền tảng ứng dụng Microsoft Power

Nhóm nghiên cứu UpGuard Research vừa tiết lộ: "Các kiểu dữ liệu bị rò rỉ ở các cổng là khác nhau, bao gồm được sử dụng để theo dõi kết nối tình hình dịch bệnh Covid-19, các lịch hẹn tiêm chủng vacxin Covid-19, số an sinh xã hội cho người xin việc, ID nhân viên và hàng triệu tên cùng địa chỉ email".

Các cơ quan chính quyền Indiana, Maryland và thành phố New York cùng các công ty tư nhân như American Airlines, Ford, J.B. Hunt và Microsoft được cho là đã bị ảnh hưởng. Trong số những thông tin nhạy cảm bị lộ lọt có 332.000 địa chỉ email và ID nhân viên được các dịch vụ tính lương toàn cầu của Microsft sử dụng và hơn 85.000 bản ghi liên quan tới hệ thống hỗ trợ kinh doanh cùng các cổng thực tế hỗn hợp tăng cường (Mixed Reality).

Power Apps là một nền tảng phát triển do hỗ trợ để xây dựng các ứng dụng kinh doanh tùy chỉnh theo phương pháp phát triển phần mềm low-code hoạt động trên thiết bị di động và web bằng cách sử dụng các mẫu dựng sẵn, ngoài ra còn cung cấp các API cho phép các ứng dụng khác truy nhập vào dữ liệu, bao gồm các tùy chọn để truy xuất và lưu giữ thông tin.

Dịch vụ này là một bộ các ứng dụng, trình kết nối và nền tảng dữ liệu, tạo môi trường phát triển nhanh để xây dựng các ứng dụng tùy chình cho các nhu cầu của doanh nghiệp. Tuy nhiên, cấu hình sai trong cách cổng thông tin chia sẻ và lưu trữ dữ liệu có thể dẫn đến tình huống dữ liệu nhạy cảm bị truy nhập công khai, gây nguy cơ rò rỉ dữ liệu.

Các nhà nghiên cứu cho biết: "Những cổng Power Apps có các tùy chọn được xây dựng để chia sẻ dữ liệu, nhưng chúng cũng có sẵn nhiều dữ liệu nhạy cảm. Trong các trường hợp như các trang đăng ký tiêm chủng vacxin Covid-19 có các loại dữ liệu được công khai như vị trí các điểm tiêm chủng, thời gian hẹn và dữ liệu nhạy cảm phải đặt ở chế độ riêng tư như thông tin nhận dạng cá nhân của những người được tiêm chủng".

Hiện Microsoft đã được thông báo về vụ rò rỉ dữ liệu này và đã cảnh báo các khách hàng đám mây của chính phủ về vấn đề này. Ngoài ra, Microsoft đã phát hành công cụ có tên là Portal Checker để phát hiện bất kỳ khả năng hiển thị nào phát sinh vì lý do sai cấu hình, đồng thời phát hành các bản cập nhật để các cổng mới được tạo sẽ có các quyền bắt buộc đối với bảng được thực thi cho bất kỳ các biểu mẫu và danh sách cài đặt Enable Table Permissions.

Các nhà nghiên cứu cảnh báo: "Mặc dù Microsoft cho rằng vấn đề ở đây không hoàn toàn là một mà là một vấn đề về nền tảng yêu cầu thay đổi mã cho sản phẩm, do đó sẽ đi kèm một loạt các lỗ hổng bảo mật. Việc thay đổi sản phẩm theo các hành vi của người dùng là một giải pháp tốt hơn là gán toàn bộ việc mất dữ liệu là do là cấu hình sai của người dùng cuối, cho phép sự cố tiếp diễn và khiến người dùng cuối phải chịu rủi ro về an ninh mạng do xâm phạm dữ liệu".

Trần Thanh Tùng

‹ › ×

Tin liên quan

TQ muốn “xóa sổ” các phần mềm Microsoft, Apple, Android vào tháng 10

09:42 | 27/08/2014

Trung Quốc sẽ dùng phần mềm di động và máy tính để bàn riêng của mình thay thế các phần mềm nhập khẩu của Microsoft, Apple và Google.

Rò rỉ dữ liệu hơn 1 triệu khách hàng WordPress do sự cố của GoDaddy

07:00 | 02/12/2021

Hãng lưu trữ web GoDaddy thông báo về một sự cố lộ lọt dữ liệu của hãng dẫn đến việc thông tin của 1,2 triệu khách hàng gồm cả hoạt động và không hoạt động bị truy cập trái phép.

Microsoft phát hành bản vá lỗ hổng bảo mật tháng 9/2023

07:00 | 18/09/2023

Trung tuần tháng 9, Microsoft đã phát hành bản vá cho 59 lỗ hổng, trong đó 05 lỗ hổng zero-day được xếp hạng nghiêm trọng và đã bị khai thác trong các cuộc tấn công.

Kỹ thuật tấn công mới SmashEX trên bộ xử lý Intel SGX Enclaves

07:00 | 08/11/2021

Một lỗ hổng mới vừa được các nhà nghiên cứu phát hiện ảnh hưởng đến bộ xử lý Intel, cho phép tin tặc truy cập vào những thông tin nhạy cảm, thậm chí thực thi mã tùy ý trên các hệ thống bị ảnh hưởng.

Rủi ro từ việc để lộ thông tin cá nhân trên mạng

18:00 | 27/01/2022

Tình trạng rò rỉ, để lộ thông tin cá nhân trên không gian mạng đang ngày càng trở nên phức tạp. Đây là mối lo chung của nhiều cơ quan chức năng cũng như người dùng.

Microsoft cảnh báo nguy cơ Windows bị lây nhiễm mã độc qua tập tin Office

13:00 | 14/09/2021

Microsoft vừa phát đi cảnh báo về nguy cơ bảo mật mới cho phép tin tặc tận dụng các tập tin Office để cài đặt mã độc lên máy tính của nạn nhân.

Facebook làm rò rỉ dữ liệu của 533 triệu người dùng

16:00 | 06/04/2021

Theo chuyên gia an ninh mạng và truyền thông quốc tế, dữ liệu cá nhân của 533 triệu người dùng Facebook đã được đăng tải miễn phí trên một diễn đàn tin tặc trực tuyến.

Rò rỉ dữ liệu của 3,3 triệu khách hàng Volkswagen

13:00 | 06/07/2021

Volkswagen - Tập đoàn đa quốc gia của Đức về lĩnh vực sản xuất ô tô mới đây vừa tiết lộ một vụ vi phạm dữ liệu ảnh hưởng đến hơn 3,3 triệu khách hàng. Phần lớn người bị ảnh hưởng là những người đã từng mua hoặc đã từng liên hệ để tìm hiểu về xe Audi. Trong số đó, 163.000 khách hàng ở Canada, phần lớn còn lại là các khách hàng ở Hoa Kỳ.

Tin cùng chuyên mục

Ngày hội Trí tuệ nhân tạo Việt Nam năm 2024

14:00 | 23/08/2024

Ngày 23/8, tại Hà Nội, sự kiện Ngày hội Trí tuệ nhân tạo Việt Nam năm 2024 (AI4VN 2024) diễn ra với chủ đề "Mở khóa sức mạnh trí tuệ nhân tạo tạo sinh”. AI4VN 2024 là sự kiện thường niên, do Bộ Khoa học và Công nghệ chỉ đạo, Báo VnExpress, Công ty Cổ phần Dịch vụ trực tuyến FPT (FPT Online) tổ chức, với sự phối hợp của Câu lạc bộ Các Khoa - Viện - Trường Công nghệ thông tin - Truyền thông (FISU).

Gần 13 triệu người dân tại Australia bị đánh cắp dữ liệu cá nhân

09:00 | 25/07/2024

Ngày 18/7, nhà cung cấp thuốc kê đơn điện tử MediSecure thông báo 12,9 triệu khách hàng đã bị đánh cắp dữ liệu cá nhân, trong đó một lượng lớn dữ liệu đã bị tải lên “web đen”. MediSecure lần đầu tiên biết đến vụ xâm phạm dữ liệu này hôm 13/4, khi phát hiện mã độc ransomware trên một máy chủ chứa dữ liệu nhạy cảm về sức khỏe và cá nhân, sau đó công khai xác nhận vụ tấn công vào tháng 5.

Ban Cơ yếu chính phủ và Kaspersky tiếp tục hợp tác phát triển năng lực an ninh mạng của Việt Nam

10:00 | 19/07/2024

Ngày 18/7, Ban Cơ yếu Chính phủ cùng công ty toàn cầu về an ninh mạng Kaspersky đã gia hạn Thỏa thuận hợp tác ký kết vào năm 2018 để mở rộng mối quan hệ hợp tác sẵn, có nhằm tăng cường năng lực an ninh mạng của việt Nam.

Bộ Công an cảnh báo 4 hình thức lừa đảo xác thực sinh trắc học khuôn mặt

15:00 | 15/07/2024

Theo thông tin từ Bộ Công an, 5 tháng đầu năm nay, thiệt hại do tội phạm lừa đảo chiếm đoạt tài sản đã lên tới hơn 4.000 tỷ đồng, tức là bằng 94% so với cả năm 2023. Qua điều tra, Bộ Công an đã phát hiện những nhóm lừa đảo hoạt động chuyên nghiệp như một nghề để kiếm sống, chuyên nghiên cứu các chính sách mới để từ đó cho ra các kịch bản lừa đảo.