Nacionalni CERT

Otkriven sigurnosni propust na Docs.com

Otkriven je sigurnosni propust na Microsoft web sjedištu za besplatno dijeljenje dokumenata Docs.com koje je povezano s uslugom Office 365 te se koristi za dijeljenje i uređivanje dokumenata. Potencijalni propust predstavlja tražilica koja se nalazi na početnoj stranici usluge, a putem koje se može pristupiti svim dokumentima postavljenima na web sjedištu.

Nažalost, velik broj korisnika nije bio upoznat ni s radom stranice ni s činjenicom kako su svi postavljeni dokumenti javno dostupni. Microsoft u službenom opisu usluge navodi kako je "Docs.com usluga koja korisnicima dopušta stvaranje i dijeljenje portfolija sa suradnicima, kolegama, autorima te dolazi s nizom ugrađenih usluga poput analitičkih alata, elektroničke pošte i alata za dijeljenje većem broju korisnika" što ne sugerira mnogo o eventualnoj dostupnosti dokumenata putem tražilica.

No, velik broj korisnika Docs.com koristi kako bi dijelili sadržaj među sobom unutar neke organizacije, ali i ciljano suradnicima izvan matičnih organizacija. Nažalost, nisu imali na umu činjenicu da se njihovi dokumenti indeksiraju te postaju dostupni putem tražilica.

Unutar samo nekoliko sati sigurnosni su stručnjaci otkrili cijeli niz dokumenata s povjerljivim podacima, od čega je značajan broj bio dostupan pretragom ključnih riječi "lozinka" i "broj računa".

Ubrzo nakon što je obaviješten Microsoft, tražilica je uklonjena s početne stranice usluge Docs.com, ali još uvijek postoje ugrađene tražilice za pretragu svih dokumenata dostupnih putem ove usluge, a velikom je broju dokumenata moguće pristupiti i putem tražilica Google i Bing.

Microsoft je ranije objavio dokument u kojem se Office 365 administratorima savjetuje o načinima na koje mogu upravljati korisničkim ovlastima te im ograničiti pristup dokumentima. U dokumentu se navodi kako, zbog činjenice da Docs.com ne zadovoljava okvire što ih postavlja usluga Office 365, administratori moraju vlastoručno odobriti korisničke račune korisnika koji bi se uslugom Docs.com htjeli služiti.

Microsoft je tijekom jučerašnjeg dana pokušavao otkloniti pronađeni propust, a korisnicima je savjetovano da podese postavke svojeg sigurnosnog računa prijavom na web sjedište Docs.com

 

27.03.2017