微软Docs.com文件网上被公开，连密码也找得到

安全研究人员本周发现，微软免费云端文件共享平台Docs.com上用户含有医疗、银行账号及员工资料等机密文件可以被公开搜寻，而且连密码也能搜寻到。 

Docs.com是与Office 365.com连结的免费文件平台，Office 365用户可用以和他人共享文件。3月25日研究人员Kevin Baumont发现，透过Docs.com首页上的搜寻列，可以找到大量原本不应该公开的文件，像是一份含有多项装置，包括金属探测器及安全装置在内的维修纪录和密码，小额信贷客户的姓名、地址、银行账户、社会安全号码及电子邮件、医师治疗纪录、相片、及电子病历帐密，以及公司员工入社资料等等。其中有些只要输入“password”或“账号”等关键字就会出现。 

文章贴出不久后，微软就将Docs.com首页搜寻列移除，不过其实这些文件还是在网站上。许多文件还是可被Google、Bing搜索引擎索引且搜寻到。Bauont发现即使到了3月27日，其中许多在Yahoo上还是搜寻得到。 

在出问题之前，微软曾经对Office 365管理员发出Docs.com安全公告，表示由于该服务并未能完全满足Office 365所有遵法框架，因此Office 365及Azure Tenant管理员必须选择开启，才能让公司使用者使用Docs.com。  

周一微软相继采取一些措施，包括封锁部分搜寻及切断外部Google搜索引擎的连线，不过状况似乎尚未完全排除，详细原因不明，微软只对Ars Technica、SC Media等媒体简短表示，为确保用户资料安全，该公司已经采取行动协助机密文件意外公开的用户解决资料外泄情况。