Una supervisión de seguridad generalizada dejó al menos decenas de miles de archivos administrativos de Harvard, incluida información sensible y confidencial sobre el gobierno de la Universidad, disponibles para que cualquier persona con credenciales de Harvard pueda ver, editar, descargar, y compartir.
Durante al menos los últimos meses, los usuarios del motor de búsqueda Bing que iniciaron sesión con sus cuentas de correo electrónico afiliadas a Harvard podían acceder a ciertos archivos y sitios web internos creados o en los que trabajaron por otras afiliadas de la Universidad en las plataformas propiedad de Microsoft OneDrive y SharePoint. Los archivos que se dejaron disponibles incluyeron aquellos vistos o creados por empleados de nivel medio hasta algunos asociados con el rector de la universidad Alan M. Garber '76 y el presidente Lawrence S. Bacow.
Los documentos permaneció disponible hasta que The Crimson se puso en contacto con la Universidad sobre el tema la semana pasada. Durante el fin de semana, la Universidad desactivó la capacidad de usar Bing para buscar en las plataformas de Microsoft vinculadas a Harvard y cerró una función de búsqueda interna similar dentro de Microsoft 365 llamada Delve.
Tecnología de la información de la Universidad de Harvard El portavoz Timothy J. Bailey escribió en una declaración enviada por correo electrónico el lunes que HUIT está actualmente "tomando las medidas adecuadas" para identificar el acceso no autorizado a archivos confidenciales, revertir los archivos confidenciales a privados y crear pautas para proteger la información confidencial en el futuro.
“Los funcionarios de la Universidad de Harvard saben que algunas personas dentro de la comunidad de Harvard pueden haber accedido a archivos que no están autorizados a ver”, escribió. “Este acceso y exposición no es el resultado de actividades maliciosas por parte de actores externos”.
Los administradores de Harvard confían en el software Microsoft 365 para compartir documentos internamente, incluidos archivos que contienen información confidencial.
OneDrive y SharePoint ofrecen a los creadores de archivos una variedad de opciones de configuración de privacidad, que van desde el uso personal hasta una selección de "compartido con todos", que algunos empleados de Harvard seleccionaron en un aparente intento de compartir documentos con colegas.
Pero al elegir enviar archivos usando la opción "compartido con todos", docenas de administradores universitarios abrieron inadvertidamente la puerta para que cualquier afiliado de Harvard tropezara con los archivos.
A través de la función de búsqueda de Microsoft en Bing, que se introdujo en junio de 2021, el motor de búsqueda indexó los archivos que pertenecían a una filial universitaria o en los que trabajaba. tes que no se colocaron en un entorno privado. El motor de búsqueda podría ofrecer estos documentos a un usuario que inició sesión en Bing con su HarvardKey simplemente ingresando términos clave o nombres de administradores, profesores, personal o estudiantes.
Los documentos que quedaron vulnerables incluidos contraseñas de usuario almacenadas sin cifrar, números HUID, nombres de donantes e informes de estado de vacunación de los empleados. También hubo memorandos sobre las finanzas de la Universidad; datos detallados del personal; esfuerzos de diversidad, equidad e inclusión; y planes de expansión del campus.
Una página web de soporte de Microsoft en Microsoft Search en Bing confirmó que los administradores no pueden acceder al historial de búsqueda escolar de una persona, lo que significa que la Universidad no podría determinar quién pudo haber accedido qué documentos. HUIT solo puede "ver el número de búsquedas por tipo (personas, archivos, etc.) y una lista agregada de las búsquedas principales", según la página web.
"Somos conscientes del problema y el apoyo a nuestro cliente ", escribió un portavoz de Microsoft en un correo electrónico con respecto a la supervisión de seguridad de Harvard.
Aunque los archivos solo aparecerían para un usuario de Bing que haya iniciado sesión con sus credenciales de Harvard, la supervisión podría exponer la información vulnerable a una audiencia mucho más amplia, según el profesor de la Universidad Estatal de Kennesaw, Andrew Green, que estudia seguridad de la información.
Green dijo que las opciones de descarga y uso compartido de Bing aumentan el riesgo
“Una vez que los datos están disponibles y cualquiera puede descargarlos, se pueden compartir con todos”, dijo Green. “Entonces, cuando comenzamos a mirar el alcance potencial, esta es la exposición global, ya sea que haya sucedido o no”.
“Esta filtración de información es mala”, agregó. "Realmente no conocemos el impacto potencial todavía, porque no sabemos quién lo ha hecho". .griffin @ thecrimson.com. Sígala en Twitter @kelseyjgriffin.
—Puede comunicarse con el escritor Simon J. Levien en simon.levien@thecrimson.com. Síguelo en Twitter @simonjlevien.
Sé el primero en comentar