La surveillance informatique a laissé des milliers de fichiers internes de Harvard vulnérables : Encore une fois | Nouvelles

L’automne dernier. les responsables de l’école ont déclaré qu’ils avaient pris des mesures rapides pour résoudre le problème. Mais les problèmes informatiques de Harvard n’ont pas Cela ne s’arrête pas là. Une deuxième surveillance de sécurité similaire a laissé des milliers de fichiers internes d’unités de l’Université à la disposition de toute personne disposant d’identifiants de connexion à Harvard pour y accéder via la plate-forme collaborative Microsoft SharePoint.

Les utilisateurs connectés avec leur compte scolaire pouvaient trouver les fichiers en saisissant des mots-clés dans la fonction de recherche de la plate-forme. donateurs et employés. La vulnérabilité – découverte par The Crimson plus tôt ce mois-ci, moins de six mois après la résolution du premier problème – a été corrigée par l’école après que le journal a soulevé des questions à ce sujet.

Dans un communiqué publié lundi, Harvard University Information Le porte-parole de la technologie, Timothy J. Bailey, a écrit que « HUIT a pris des mesures pour faire face au potentiel d’accès aux informations confidentielles par des personnes non autorisées. » De nombreuses unités de Harvard utilisent le logiciel Microsoft 365 – y compris SharePoint – pour distribuer des documents en interne.

SharePoint offre aux créateurs de fichiers des paramètres de confidentialité allant d’une utilisation personnelle uniquement à une option « partagé avec tout le monde », ce qui a conduit certains employés à partager par inadvertance leur travail avec tous les affiliés de Harvard, et pas seulement avec leurs équipes, comme prévu. « Les paramètres de confidentialité de Microsoft 365 permettent aux utilisateurs de SharePoint, OneDrive et Teams pour spécifier et gérer exactement qui peut accéder à un fichier ou à un dossier, permettant au personnel, aux professeurs et aux étudiants de Harvard de collaborer en toute sécurité », a écrit Bailey. « HUIT est conscient que certains propriétaires de Microsoft 365 ont mal appliqué les paramètres de confidentialité, permettant à d’autres membres de la communauté de Harvard d’accéder à des informations qui ne leur étaient pas destinées.

 » Depuis que le problème a été soulevé par The Crimson, l’école a défini la plupart des fichiers accessibles au public sur paramètres de partage de documents privés et restreints à travers l’Université, et a commencé à examiner s’il y avait un accès non autorisé à des informations confidentielles, a écrit Bailey. Un porte-parole de Microsoft a écrit que la société est « consciente du problème et soutient notre client ». légèrement de celui découvert en octobre, lorsque les utilisateurs ont pu accéder aux fichiers via le moteur de recherche Bing.

Avant que le problème ne soit résolu à l’automne, les utilisateurs de Bing qui se connectaient avec des comptes de messagerie Harvard pouvaient afficher et télécharger au moins des dizaines de milliers de fichiers stockés sur les plates-formes OneDrive et SharePoint appartenant à Microsoft. Après que The Crimson ait alerté les responsables de l’université du problème, l’école a désactivé la fonction qui a créé la surveillance de Bing et fermé un outil de collaboration similaire au sein de Microsoft 365 appelé Delve. fichiers disponibles pour les affiliés qui ont besoin d’y accéder tout en s’assurant qu’il existe suffisamment de mesures de sécurité pour limiter l’accès aux utilisateurs non autorisés.

« La complexité avec laquelle nous essayons de gérer ces situations, via les contrôles intégrés à des services comme SharePoint, est juste devient de plus en plus difficile », a déclaré Green. « Le besoin des gens de partager ces actifs et d’y avoir accès, presque quel que soit leur emplacement, est un problème complexe à résoudre. Il n’y a pas de solution facile ici.

»Chris J. Hoofnagle, directeur de la faculté du Centre de droit et de technologie de l’UC Berkeley, a déclaré que Harvard pourrait prendre des «mesures de triage» pour résoudre le problème, comme l’utilisation d’un service qui identifie si les documents sur le partage interne les réseaux contiennent des informations sensibles, telles que les numéros de carte de crédit et de sécurité sociale. « Vous voulez un système tripwire afin que vous puissiez savoir instantanément si des données particulièrement sensibles se trouvent dans vos services », a-t-il déclaré.

« Ceux-ci sont largement disponibles maintenant. » Green a déclaré que le moyen le plus efficace de résoudre le problème serait de contrôler l’accès en regroupant les affiliés de l’Université dans des catégories spécifiques et en administrant certains privilèges de partage à chacun. « Le moyen le plus propre, mais certainement pas le plus simple – et certainement à forte intensité de travail et à forte intensité de main-d’œuvre – adapte les contrôles d’accès aux groupes », a-t-il déclaré.

étudiant et assistant d’enseignement. « Les frontières entre nos rôles et nos autorités sont si floues », a-t-il déclaré. Mais il a déclaré que l’Université devrait examiner comment les affiliés utilisent et comprennent Microsoft 365 afin d’empêcher les utilisateurs d’utiliser à nouveau involontairement le service.

up », a déclaré Good. La rédactrice Cara J. Chang peut être contactée à cara.

.com.

Cho peut être contactée à isabella.

com.