Google Drive 云端硬盘设定当中,包括“任何知道这个链接的人都能查看选项”以便用户协作。 然而,日本一间手游开发商却将包含用户个人资料的文件存取权错误设定为”任何知道这个链接的人都能查看“,更历时逾6年未有发现错误设定,导致接近100万位用户面临数据外泄风险。
据外国科技网站Bleeping Computer报道,开发《神域召唤-VALKYRIE CONNECT》手游、内存解放App”Game Boost Master“、闹钟App”睡眠周期时钟“等的Ateam近日发出通知表示,由于该公司由2017年3月起,将Google Drive存取权错误设定,查出1,369个文件及档案可能已经暴露在外。 当中包括Ateam旗下用户、业务合作伙伴、现职及前员工,甚至是实习生及应征者的资料。
Ateam确认,共935,779人资料不慎曝光,其中98.9%为其用户。 而这些资料包括用户全名、电子邮件地址、电话号码、客户管理号码、设备识别号码。 惟官方指,尚未发现不法分子窃取个人资料的具体证据,呼吁相关人士多加留意,尤其对未经许可的请求、可疑来电等保持警惕。
通常该”任何知道这个链接的人都能查看“的Google Drive设置会用于处理非敏感资料的协作,惟企业若错误设定敏感档案,知道连结的人如不慎对外公开,连结可能会被搜索引擎编入索引,藉由关键字搜索,导致不法分子有机可乘,存取其内部文件资料。
