نشت داده های شخصی شرکت کنندگان یکی از رویدادهای مایکروسافت

به گزارش کارگروه امنیت سایبربان؛ داده های شخصی ثبت نام کنندگان در رویدادهای مجازی قابل دسترسی در پلتفرم EventBuilder ( ایوِنت بیلدِر ) در فضای عمومی اینترنت منتشر شده و موتور های مختلف، امکان فهرست سازی آن ها را خواهند داشت. 

ایونت بیلدر نرم افزاری برای ساخت رویداد های مجازی مانند وبینارها، آموزش مجازی و کنفرانس هاست که از فناوری های مایکروسافت و افزونه های Microsoft Teams و Microsoft Live Events بهره مند می باشد. 

مایکروسافت برای میزبانی از رویدادهای مختلف از این پلتفرم استفاده می کند. 

طبق گزارش مشترک محققی امنیتی به نام باب دیاچنکو و شرکت اوکراینی Clario Tech ( کلاریو تک )، پلتفرم ایونت بیلدر بیش از یک میلیون فایل CSV ( مقادیر جدا شده با ویرگول ) و JSON ( نشانه شیء جاوا اسکریپت ) و اطلاعات شخصی متعلق به ثبت کنندگان در رویدادهای مجازی مایکروسافت را در معرض خطر قرار داده است. 

این داده ها شامل نام کامل، نشانی ایمیل، نام شرکت ها، موقعیت شغلی ثبت نام کنندگان، شماره تلفن و بازخورد های گرفته شده توسط پرسشنامه ها می باشد. این داده ها توسط موتور جستجوی جنگی Grayhat ( گِرِی هَت ) شناسایی شده اند. 

این داده های نشت شده در 10 ژوئن شناسایی و در همان روز گزارش شده بودند. ایونت بیلدر این گزارش را تایید کرد اما هیچ گونه اظهاری نظری در این رابطه نکرد. 

تعداد نهایی داده های نشت شده نامشخص است اما طبق شواهد موجود، حجم آن ها زیاد می باشد. 

تصور می شود صدها هزار شرکت کننده تحت الشعاع این موضوع قرار گرفته باشند. 

طبق گزارشات، این داده های نشت شده بر روی قابلیت Blob Storage مایکروسافت آژور موجود بودند. ( راهکار ذخیری سازی ابری داده های غیر سازماندهی شده در مایکروسافت آژور ) ظاهرا این فضای ذخیره سازی به منظور میزبانی از جلسات ضبط شده و ایجاد دسترسی به آن ها از طریق لینک، مورد استفاده قرار داشته است. 

رویدادی که این مسئله در آن وجود آمده است، وبیناری با موضوع " Supercharge key workflows with apps in Teams "  از سری برنامه های چاک تاک مایکروسافت تیمز بوده است.