Неправильная конфигурация EventBuilder предоставляет данные о зарегистрированном событии Microsoft

27
Microsoft исправляет обход TPM Surface Pro 3 с помощью общедоступного кода эксплойта

Личные данные регистрантов на виртуальные мероприятия, доступные через платформу EventBuilder, остаются доступными в общедоступном Интернете, открытыми для индексации различными механизмами.

EventBuilder — это программное решение для создания виртуальных мероприятий (вебинары, обучение, онлайн-обучение, конференции) с использованием технологий Microsoft и интегрируется с расширением Microsoft Teams и Teams Live Events.

Платформа является участником программы для поставщиков Microsoft и используется Microsoft для проведения мероприятий для внешней аудитории.

Данные зарегистрировавшегося на мероприятие Microsoft

Отчет исследователя безопасности Боба Дьяченко в партнерстве с Clario Tech показывает, что EventBuilder предоставил более миллиона файлов CSV и JSON с личной информацией, принадлежащей зарегистрировавшимся лицам, на мероприятиях через Microsoft Teams.

Публично раскрытая информация включала полные имена, адреса электронной почты, названия компаний и должность регистранта, номера телефонов и отзывы на анкету. Данные были обнаружены с помощью поисковой системы Grayhat Warfare .

В просочившихся данных также присутствовала «сводная информация о регистранте», которая раскрывала информацию о событии, такую ​​как его название, дата, теги и участие регистранта.

Открытые данные присутствовали в хранилище больших двоичных объектов Microsoft Azure, которое является облачным хранилищем объектов Microsoft. В своем отчете Дьяченко и Clario Tech говорят, что хранилище предназначалось для размещения записанных сеансов и предоставления доступа к ним по ссылке.

Только эти данные должны были быть общедоступными. Тем не менее, организаторы веб-семинара также включили информацию о зарегистрировавшихся в тот же самый большой двоичный объект, таким образом раскрывая конфиденциальные данные любому, у кого есть правильная ссылка.

Поскольку EventBuilder также используется Microsoft, Дьяченко говорит, что эта утечка данных является «интересным примером того, как даже самые передовые технологические компании могут подвергнуться уязвимостям данных».

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here