25 марта 2017 года независимый исследователь Кевин Бимонт (Kevin Beaumont) обнаружил, что сайт docs.com, привязанный к сервису Office 365, на котором можно бесплатно поделиться документами, обладает неприятной особенностью: на главной странице ресурса есть поисковая строка. Вряд ли это было бы проблемой, если бы пользователи Office 2016 и Office 365 знали, что любые документы, загруженные на docs.com, становятся публично доступными. Однако большинство пользователей об этом не знали.
You can probably see where I'm going with this and https://t.co/3TC07CB8gE. pic.twitter.com/zCJAcNNx3a
— Kevin Beaumont (@GossiTheDog) March 25, 2017
«Docs.com — это интернет-ресурс, на котором можно собирать и публиковать документы Word, книги Excel, презентации PowerPoint, Office Mix и Sway, записные книжки OneNote, PDF-файлы и миры Minecraft. С помощью Docs.com вы сможете легко делиться интересными материалами с другими людьми. Ваше содержимое будет великолепно выглядеть на любом устройстве», — гласит официальное описание сервиса.
К сожалению, большинство пользователей применяли docs.com, чтобы поделиться документами с коллегами по работе, или напротив передать документ кому-то за пределами организации. При этом пользователи не подозревали, что содержимое файлов индексируется поиском и становится публично доступным.
Вскоре Бимонт, другие исследователи и простые пользователи поняли, что docs.com хранит настоящую кладезь конфиденциальных данных. Поиск по таким ключевым словам, как «SSN», «password» или «account number» обнаруживет чужие логины, пароли, номера социального страхования, адреса, телефоны, номера банковских аккаунтов и карт, email-адреса, медицинские данные и бумаги из клиник, внутрикорпоративные инструкции для сотрудников и так далее.
Search for MS @Office @msdocscom is back up. - https://t.co/Rf5BB93JSR is now known as *Dox*[dot]com - Enjoy. pic.twitter.com/istqZ5l5vY
— Tinker ❎ (@TinkerSec) March 26, 2017
@k1LL_sw17ch @TinkerSec Now for that other thing... pic.twitter.com/8nQphVnjUB
— John Doesmithison (@c0mmand3rOpSec) March 25, 2017
В результате разработчики Microsoft были вынуждены удалить поисковую строку с главной страницы сайта (хотя поиск с других страниц docs.com по-прежнему работал). Однако это не решило проблему, ведь Google, Bing и другие поисковые машины все равно имеют доступ к документам на сайте, индексируют их и без труда находят. К тому же документы осели в кеше поисковиков, так что даже их удаление с docs.com поможет не до конца.
Утром 27 марта 2017 Microsoft частично отключила поиск по docs.com и начала блокировать некоторые входящие ссылки из Google. Однако несколько часов спустя все вернулось на круги своя, поиск вновь заработал, а личные данные тысяч пользователей по-прежнему доступны любому желающему.
Около 22:00 по московскому времени представитель Microsoft сообщил журналистам издания ArsTechnica, что docs.com создан для того, чтобы делиться материалами со всем миром, однако учитывая происходящее, компания разрешила пользователям, которые могли по ошибке опубликовать личную информацию, войти в учетную запись и изменить настройки.
