Бесплатно Экспресс-аудит сайта:

22.09.2021

Сотни тысяч файлов пользователей EventBuilder оказались в общем доступе

Персональные данные участников виртуальных мероприятий, организованных через платформу EventBuilder, оказались в общем доступе для индексации различными поисковыми механизмами (например, Grayhat Warfare).

EventBuilder — программное решение для создания виртуальных мероприятий (вебинаров, обучения, online-обучения, конференций) с использованием технологий Microsoft. ПО интегрируется с расширением Microsoft Teams и Teams Live Events.

По словам исследователя в области кибербезопасности Боба Дьяченко и специалистов из Clario Tech, из-за некорректной конфигурации EventBuilder раскрывало сотни тысяч файлов CSV и JSON с личной информацией, принадлежащей лицам, зарегистрировавшимся на мероприятиях через Microsoft Teams. Раскрытая информация включала полные имена, адреса электронной почты, названия компаний и должность пользователя, номера телефонов и пр.

В раскрытых данных также присутствовала информация о мероприятии, включая его название, дату, теги и сведения об участии пользователя.

Раскрытые данные присутствовали в хранилище Microsoft Azure Blob Storage, которое является облачным решением для хранения BLOB-объектов Azure. Хранилище предназначалось для размещения записанных сеансов и предоставления доступа к ним по ссылке, и только эти данные должны были быть общедоступными. Тем не менее, администраторы вебинаров также включили информацию о зарегистрированных пользователях в самый большой двоичный объект, таким образом раскрывая конфиденциальные данные любому, у кого есть правильная ссылка.