Nhóm nghiên cứu UpGuard Research vừa tiết lộ: "Các kiểu dữ liệu bị rò rỉ ở các cổng là khác nhau, bao gồm thông tin cá nhân được sử dụng để theo dõi kết nối tình hình dịch bệnh Covid-19, các lịch hẹn tiêm chủng vacxin Covid-19, số an sinh xã hội cho người xin việc, ID nhân viên và hàng triệu tên cùng địa chỉ email".
Các cơ quan chính quyền Indiana, Maryland và thành phố New York cùng các công ty tư nhân như American Airlines, Ford, J.B. Hunt và Microsoft được cho là đã bị ảnh hưởng. Trong số những thông tin nhạy cảm bị lộ lọt có 332.000 địa chỉ email và ID nhân viên được các dịch vụ tính lương toàn cầu của Microsft sử dụng và hơn 85.000 bản ghi liên quan tới hệ thống hỗ trợ kinh doanh cùng các cổng thực tế hỗn hợp tăng cường (Mixed Reality).
Power Apps là một nền tảng phát triển do Microsoft hỗ trợ để xây dựng các ứng dụng kinh doanh tùy chỉnh theo phương pháp phát triển phần mềm low-code hoạt động trên thiết bị di động và web bằng cách sử dụng các mẫu dựng sẵn, ngoài ra còn cung cấp các API cho phép các ứng dụng khác truy nhập vào dữ liệu, bao gồm các tùy chọn để truy xuất và lưu giữ thông tin.
Dịch vụ này là một bộ các ứng dụng, trình kết nối và nền tảng dữ liệu, tạo môi trường phát triển nhanh để xây dựng các ứng dụng tùy chình cho các nhu cầu của doanh nghiệp. Tuy nhiên, cấu hình sai trong cách cổng thông tin chia sẻ và lưu trữ dữ liệu có thể dẫn đến tình huống dữ liệu nhạy cảm bị truy nhập công khai, gây nguy cơ rò rỉ dữ liệu.
Các nhà nghiên cứu cho biết: "Những cổng Power Apps có các tùy chọn được xây dựng để chia sẻ dữ liệu, nhưng chúng cũng có sẵn nhiều dữ liệu nhạy cảm. Trong các trường hợp như các trang đăng ký tiêm chủng vacxin Covid-19 có các loại dữ liệu được công khai như vị trí các điểm tiêm chủng, thời gian hẹn và dữ liệu nhạy cảm phải đặt ở chế độ riêng tư như thông tin nhận dạng cá nhân của những người được tiêm chủng".
Hiện Microsoft đã được thông báo về vụ rò rỉ dữ liệu này và đã cảnh báo các khách hàng đám mây của chính phủ về vấn đề này. Ngoài ra, Microsoft đã phát hành công cụ có tên là Portal Checker để phát hiện bất kỳ khả năng hiển thị nào phát sinh vì lý do sai cấu hình, đồng thời phát hành các bản cập nhật để các cổng mới được tạo sẽ có các quyền bắt buộc đối với bảng được thực thi cho bất kỳ các biểu mẫu và danh sách cài đặt Enable Table Permissions.
Các nhà nghiên cứu cảnh báo: "Mặc dù Microsoft cho rằng vấn đề ở đây không hoàn toàn là một lỗ hổng phần mềm mà là một vấn đề về nền tảng yêu cầu thay đổi mã cho sản phẩm, do đó sẽ đi kèm một loạt các lỗ hổng bảo mật. Việc thay đổi sản phẩm theo các hành vi của người dùng là một giải pháp tốt hơn là gán toàn bộ việc mất dữ liệu là do là cấu hình sai của người dùng cuối, cho phép sự cố tiếp diễn và khiến người dùng cuối phải chịu rủi ro về an ninh mạng do xâm phạm dữ liệu".
Trần Thanh Tùng
09:42 | 27/08/2014
07:00 | 02/12/2021
07:00 | 18/09/2023
07:00 | 08/11/2021
18:00 | 27/01/2022
13:00 | 14/09/2021
16:00 | 06/04/2021
13:00 | 06/07/2021
08:00 | 01/09/2024
Uy lực của súng đạn, sự hy sinh của những người lính, tất cả đều đã trở thành một phần không thể thiếu trong lịch sử hào hùng của dân tộc ta. Nhưng ít ai biết rằng, đằng sau những chiến thắng vang dội ấy, còn có một cuộc chiến thầm lặng nhưng không kém phần quyết liệt, là cuộc chiến trên mặt trận mật mã. Bản tin podcast ngày hôm nay, xin mời quý vị và các bạn cùng quay trở lại Chiến dịch Biên giới Thu - Đông năm 1950 trên mặt trận mật mã.
20:00 | 31/08/2024
Ngày 23/8, tại TP. Hồ Chí Minh, Cục An toàn thông tin – Bộ Thông tin và Truyền thông, Sở Thông tin và Truyền thông Tp. Hồ Chí Minh và Hiệp hội An toàn Thông tin Việt Nam – Chi hội phía Nam (VNISA phía Nam) phối hợp đồng tổ chức Hội thảo và Triển lãm An toàn thông tin khu vực phía Nam 2024 với chủ đề “Đảm bảo an toàn thông tin cho hạ tầng số, dữ liệu số và kinh tế số trước tội phạm mạng”.
10:00 | 16/08/2024
Ngày 15/8, tại Hà Nội, Hội thảo "Tiêu chuẩn an ninh dữ liệu trong nước và Quốc tế: Nghị định 13 và PCI DSS" do CMC Cyber Security tổ chức đã diễn ra thành công tốt đẹp và thu hút sự tham gia đông đảo của các chuyên gia, lãnh đạo doanh nghiệp, đại diện các tổ chức và cơ quan quản lý nhà nước quan tâm đến lĩnh vực an ninh dữ liệu.
07:00 | 16/08/2024
Chiều ngày 14/8, tại Hà Nội, Ban Cơ yếu Chính phủ tổ chức Liên hoan hát ru, hát dân ca trong Phụ nữ Ban Cơ yếu Chính phủ năm 2024 với chủ đề “Ngọt ngào khúc hát dân ca”.
Chương trình nghệ thuật “Vinh quang thầm lặng 2024” đã kết thúc, nhưng những xúc cảm vẫn còn lắng đọng trong tâm hồn khán giả.
10:00 | 10/09/2024
Chương trình “Vinh quang thầm lặng 2024” do Ban Cơ yếu Chính phủ chỉ đạo, Tạp chí An toàn thông tin phối hợp với Oscar Media tổ chức đặc biệt chào mừng Kỷ niệm 80 năm ngày thành lập QĐND Việt Nam (22/12/1944-22/12/2024), 35 năm Ngày Quốc phòng toàn dân (22/12/1989-22/12/2024) và Kỷ niệm 79 năm Ngày thành lập ngành Cơ yếu Việt Nam (12/9/1945-12/9/2024). Chương trình diễn ra tại Trung tâm Hội nghị Quốc gia Hà Nội ngày 06/9/2024, phát sóng trực tiếp trên kênh Truyền hình Quốc phòng Việt Nam, với sự tài trợ chính của Công ty Cổ phần Sản xuất và Kinh doanh VinFast.
10:00 | 10/09/2024
Chính phủ Úc cho biết nước này có kế hoạch đưa ra các quy tắc quản lý trí tuệ nhân tạo (AI) trong bối cảnh các công cụ AI đang được triển khai nhanh chóng bởi các doanh nghiệp và trong cuộc sống hàng ngày.
07:00 | 10/09/2024