Nhóm nghiên cứu UpGuard Research vừa tiết lộ: "Các kiểu dữ liệu bị rò rỉ ở các cổng là khác nhau, bao gồm thông tin cá nhân được sử dụng để theo dõi kết nối tình hình dịch bệnh Covid-19, các lịch hẹn tiêm chủng vacxin Covid-19, số an sinh xã hội cho người xin việc, ID nhân viên và hàng triệu tên cùng địa chỉ email".
Các cơ quan chính quyền Indiana, Maryland và thành phố New York cùng các công ty tư nhân như American Airlines, Ford, J.B. Hunt và Microsoft được cho là đã bị ảnh hưởng. Trong số những thông tin nhạy cảm bị lộ lọt có 332.000 địa chỉ email và ID nhân viên được các dịch vụ tính lương toàn cầu của Microsft sử dụng và hơn 85.000 bản ghi liên quan tới hệ thống hỗ trợ kinh doanh cùng các cổng thực tế hỗn hợp tăng cường (Mixed Reality).
Power Apps là một nền tảng phát triển do Microsoft hỗ trợ để xây dựng các ứng dụng kinh doanh tùy chỉnh theo phương pháp phát triển phần mềm low-code hoạt động trên thiết bị di động và web bằng cách sử dụng các mẫu dựng sẵn, ngoài ra còn cung cấp các API cho phép các ứng dụng khác truy nhập vào dữ liệu, bao gồm các tùy chọn để truy xuất và lưu giữ thông tin.
Dịch vụ này là một bộ các ứng dụng, trình kết nối và nền tảng dữ liệu, tạo môi trường phát triển nhanh để xây dựng các ứng dụng tùy chình cho các nhu cầu của doanh nghiệp. Tuy nhiên, cấu hình sai trong cách cổng thông tin chia sẻ và lưu trữ dữ liệu có thể dẫn đến tình huống dữ liệu nhạy cảm bị truy nhập công khai, gây nguy cơ rò rỉ dữ liệu.
Các nhà nghiên cứu cho biết: "Những cổng Power Apps có các tùy chọn được xây dựng để chia sẻ dữ liệu, nhưng chúng cũng có sẵn nhiều dữ liệu nhạy cảm. Trong các trường hợp như các trang đăng ký tiêm chủng vacxin Covid-19 có các loại dữ liệu được công khai như vị trí các điểm tiêm chủng, thời gian hẹn và dữ liệu nhạy cảm phải đặt ở chế độ riêng tư như thông tin nhận dạng cá nhân của những người được tiêm chủng".
Hiện Microsoft đã được thông báo về vụ rò rỉ dữ liệu này và đã cảnh báo các khách hàng đám mây của chính phủ về vấn đề này. Ngoài ra, Microsoft đã phát hành công cụ có tên là Portal Checker để phát hiện bất kỳ khả năng hiển thị nào phát sinh vì lý do sai cấu hình, đồng thời phát hành các bản cập nhật để các cổng mới được tạo sẽ có các quyền bắt buộc đối với bảng được thực thi cho bất kỳ các biểu mẫu và danh sách cài đặt Enable Table Permissions.
Các nhà nghiên cứu cảnh báo: "Mặc dù Microsoft cho rằng vấn đề ở đây không hoàn toàn là một lỗ hổng phần mềm mà là một vấn đề về nền tảng yêu cầu thay đổi mã cho sản phẩm, do đó sẽ đi kèm một loạt các lỗ hổng bảo mật. Việc thay đổi sản phẩm theo các hành vi của người dùng là một giải pháp tốt hơn là gán toàn bộ việc mất dữ liệu là do là cấu hình sai của người dùng cuối, cho phép sự cố tiếp diễn và khiến người dùng cuối phải chịu rủi ro về an ninh mạng do xâm phạm dữ liệu".
Trần Thanh Tùng
09:42 | 27/08/2014
07:00 | 02/12/2021
07:00 | 18/09/2023
07:00 | 08/11/2021
18:00 | 27/01/2022
13:00 | 14/09/2021
16:00 | 06/04/2021
13:00 | 06/07/2021
08:00 | 21/03/2024
AI tạo sinh (Generative AI) được nhận định là xu hướng công nghệ triển vọng trong thời gian tới. Năm 2024, AI tạo sinh hứa hẹn sẽ tạo ra những đột phá đáng kinh ngạc, thay đổi cách chúng ta tương tác, sáng tạo và xử lý thông tin. Mặc dù, AI tạo sinh mang lại nhiều lợi ích, nhưng cũng không thiếu những thách thức như vấn đề về quyền sở hữu trí tuệ, đạo đức và đảm bảo luật an ninh mạng trong sử dụng AI.
10:00 | 19/03/2024
Làn sóng khởi nghiệp về Trí tuệ nhân tạo (AI) đang dần nóng lên trong cuộc chiến giành nhân tài ở châu Âu, khiến các công ty như Google DeepMind phải đưa ra lựa chọn giữa việc trả mức lương hấp dẫn hoặc đánh mất những bộ óc giỏi nhất của công ty mình.
10:00 | 28/02/2024
Theo thông báo vào ngày 20/2/2024, FBI và các đồng minh quốc tế đã triệt phá và kiểm soát trang web tống tiền do nhóm tội phạm mạng nguy hiểm nhất thế giới LockBit sử dụng để tống tiền nạn nhân.
09:00 | 09/01/2024
Ngày 6/1, các đội sinh viên thuộc Học viện Kỹ thuật mật mã đã xuất sắc giành cả ba giải Nhất, Nhì, Ba tại cuộc thi “CSTV - Capture the flag 2023”. Cuộc thi do Làng Công nghệ An toàn an ninh thông tin tổ chức dành cho sinh viên các trường đại học trên toàn quốc.
Sáng ngày 01/4, tại Hà Nội, Thiếu tướng Vũ Ngọc Thiềm, Trưởng ban Ban Cơ yếu Chính phủ đã trao quyết định bổ nhiệm Phó Tổng Biên tập Tạp chí An toàn thông tin cho đồng chí Đỗ Thục Anh.
17:00 | 01/04/2024
Hướng tới kỷ niệm 80 năm Ngày truyền thống ngành Cơ yếu Việt Nam (12/9/1945 - 12/9/2025), Ban Cơ yếu Chính phủ đã ban hành Kế hoạch phát động Cuộc thi sáng tác nghệ thuật thơ, ca khúc về Ngành Cơ yếu Việt Nam.
10:00 | 16/04/2024
Ngày 03/4 vừa qua, Microsoft và công ty điện toán Quantinuum đưa ra thông báo về việc hai công ty này đã đạt được thỏa thuận then chốt trong quá trình phát triển các máy tính lượng tử khả thi về mặt thương mại.
12:00 | 12/04/2024