由於谷歌的配置錯誤,數以萬計的組織洩露了敏感數據。
根據 Kenna(肯納) 安全的報告,包括財富500強的公司, 醫院, 大學和學院, 報紙和電視臺和美國政府機構等成為此次洩露事件的受害者。
而對其中9600個組織 (其中有250萬個審計域) 的調查中, 肯納團隊發現其中 31% (約 3000) 正在洩露數據。這意味著, 受影響組織的全球可能會有數以萬計。
例如:TeenSafe 跟蹤應用程式發現本田, 環球音樂集團敏感數據由於配置失誤被洩露,30萬用戶名, 密碼被黏貼到Pastebin 。
谷歌 Groups 網絡論壇,是谷歌workspace 工具 G Suite的一部分。它允許管理員創建郵寄列表, 通過電子郵件向特定收件人發送特定內容。同時, 該內容 (包括電子郵件附件) 會發布在 web 界面上, 用戶可以在線提供這些信息。
隱私設置可以在域和每組基礎上進行調整。在受影響的組織中, "組可見性" 被配置為 "Public on the Internet", 並且在組織外部共享信息的選項 (可能無意中) 被配置為打開。
"由於術語和組織範圍與組特定權限的複雜性, 列表管理員可能會無意中暴露電子郵件列表內容," 肯納研究人員在星期五的一篇文章中說。
谷歌說, 因為這是一個配置錯誤問題, 沒有計劃為它發布具體的緩解措施。然而, 搜索巨頭在星期五發表了自己的帖子, 詳細解釋了如何鎖定 Google 的群組環境, 並重申了其在雲安全共同責任模式上的立場。
"如果您允許域中的用戶創建公共 Google 組, 並讓您的域中的任何人創建組, 則您信任您的用戶管理他們的設置,並適當地使用這些組", Google說。"值得仔細考慮這種配置是否對您的組織最有意義."
所洩露的信息種類不同, 但它包括了從應付帳款、發票數據到客戶支持電子郵件和郵件密碼等內容。
"除了暴露個人和財務數據之外, 配置錯誤的 Google Group帳戶有時還能夠公開查詢大量組織自身信息, 包括:員工手冊、人員配置時間表、停機報告、應用程式錯誤, 以及其他內部資源, "獨立研究員布萊恩克雷布斯發表了自己對這個問題的觀點。
"在大多數情況下, 查找敏感消息, 可以加載公司的公共 Google Group頁面, 並鍵入關鍵搜索術語, 如 『password,』 『account,』 『HR,』 『accounting,』 『user name』 和『http:'。(新頁面的Google Hack)
4月波士頓學院事件中, 公眾 Google Group網頁上載有數以百計的大學通訊錄和相關文件, 其中包含有限制、機密或其他敏感信息, 任何人都可以訪問 BC G Suite, 其中包括所有的教員和工作人員, 並登記的學生。
肯納研究人員說: "考慮到這一類被洩露信息的敏感性質, 可能產生的影響包括:網絡釣魚、帳戶交易和各種各樣的特定欺詐和濫用網絡犯罪。
好消息是, 還沒有發現利用了這種情況的攻擊, 儘管Google Group仍然十分Open, "而對其利用甚至不需要特殊的工具或知識"。
參見:
https://threatpost.com/public-google-groups-leaking-sensitive-data-at-thousands-of-orgs/132455/