由于谷歌的配置错误,数以万计的组织泄露了敏感数据。
根据 Kenna(肯纳) 安全的报告,包括财富500强的公司, 医院, 大学和学院, 报纸和电视台和美国政府机构等成为此次泄露事件的受害者。
而对其中9600个组织 (其中有250万个审计域) 的调查中, 肯纳团队发现其中 31% (约 3000) 正在泄露数据。这意味着, 受影响组织的全球可能会有数以万计。
例如:TeenSafe 跟踪应用程序发现本田, 环球音乐集团敏感数据由于配置失误被泄露,30万用户名, 密码被黏贴到Pastebin 。
谷歌 Groups 网络论坛,是谷歌workspace 工具 G Suite的一部分。它允许管理员创建邮寄列表, 通过电子邮件向特定收件人发送特定内容。同时, 该内容 (包括电子邮件附件) 会发布在 web 界面上, 用户可以在线提供这些信息。
隐私设置可以在域和每组基础上进行调整。在受影响的组织中, "组可见性" 被配置为 "Public on the Internet", 并且在组织外部共享信息的选项 (可能无意中) 被配置为打开。
"由于术语和组织范围与组特定权限的复杂性, 列表管理员可能会无意中暴露电子邮件列表内容," 肯纳研究人员在星期五的一篇文章中说。
谷歌说, 因为这是一个配置错误问题, 没有计划为它发布具体的缓解措施。然而, 搜索巨头在星期五发表了自己的帖子, 详细解释了如何锁定 Google 的群组环境, 并重申了其在云安全共同责任模式上的立场。
"如果您允许域中的用户创建公共 Google 组, 并让您的域中的任何人创建组, 则您信任您的用户管理他们的设置,并适当地使用这些组", Google说。"值得仔细考虑这种配置是否对您的组织最有意义."
所泄露的信息种类不同, 但它包括了从应付账款、发票数据到客户支持电子邮件和邮件密码等内容。
"除了暴露个人和财务数据之外, 配置错误的 Google Group帐户有时还能够公开查询大量组织自身信息, 包括:员工手册、人员配置时间表、停机报告、应用程序错误, 以及其他内部资源, "独立研究员布莱恩克雷布斯发表了自己对这个问题的观点。
"在大多数情况下, 查找敏感消息, 可以加载公司的公共 Google Group页面, 并键入关键搜索术语, 如 ‘password,’ ‘account,’ ‘HR,’ ‘accounting,’ ‘user name’ 和‘http:'。(新页面的Google Hack)
4月波士顿学院事件中, 公众 Google Group网页上载有数以百计的大学通讯录和相关文件, 其中包含有限制、机密或其他敏感信息, 任何人都可以访问 BC G Suite, 其中包括所有的教员和工作人员, 并登记的学生。
肯纳研究人员说: "考虑到这一类被泄露信息的敏感性质, 可能产生的影响包括:网络钓鱼、帐户交易和各种各样的特定欺诈和滥用网络犯罪。
好消息是, 还没有发现利用了这种情况的攻击, 尽管Google Group仍然十分Open, "而对其利用甚至不需要特殊的工具或知识"。
参见:
https://threatpost.com/public-google-groups-leaking-sensitive-data-at-thousands-of-orgs/132455/