Kenna Security 公司分析指出,Google Groups(“谷歌讨论组”) 配置出错,导致数千家组织机构的某些敏感信息被泄露。
隐私设置不当 大规模组织机构受影响
这些受影响组织机构包括财富500强公司、医院、高等院校、报纸和电视台以及美国政府机构等。从把 Google Groups设置为“公开”的9600家组织机构组成的样本(250万个域名)来看,约31%的 Google Groups(约3000个)泄露数据。也就是说全球受影响的组织机构的数量数以万计。
Google Groups 是谷歌 G Suit 工作空间工具中的一种 web 论坛。管理员可借它创建邮件列表,通过邮件将具体内容发送给订阅用户;同时,这些内容(包括邮件附件在内)会发送到一个用户可访问的 web 接口上。这种隐私设置可基于域名和每个讨论组 (group) 进行调整。在受影响的组织机构中,讨论组的可见性设置被配置为“在互联网公开”,而在组织机构外部分享信息的选项被配置为开放。
上周五,研究人员表示,“由于术语、组织机构内以及群组权限规定复杂,因此列表管理员很可能不可避免地泄露邮件列表内容。”
谷歌不打算发布缓解措施
谷歌表示,由于它属于配置不当,因此并不打算专门发布缓解措施。不过,谷歌在上周五详细地解释了如何锁定某个 Google Groups 环境,并重申了对云安全共享责任模式的立场。
谷歌表示,“如果你允许自己域名中的用户创建公开的 Google Groups 并且允许域名内任何人创建讨论组,那么相当于你信任这些用户能够管理自己的设置并且正确地使用这些讨论组。有必要认真考虑对于自己的组织结构而言,这种配置是否是最有意义的。”
被暴露信息涵盖几乎所有内容
虽然被暴露的信息各不相同,但几乎涵盖所有内容,如应付账款、客户支持邮件的发票数据以及密码恢复邮件。
独立研究员 Brain Krebs 上周五发布分析结果表示,“除了泄露个人信息和金融数据外,配置错误的 Google Groups 账户有时候还公开检索关于组织机构本身的大量信息,包括员工使用手册链接、人员配备计划、宕机和应用 bug 报告以及其他内部资源。在多数情况下,要找到敏感信息,只需加载某公司的公开 Google Groups 页面即可,随后键入关键搜索词语,如 ’password’、’account’、’HR’、’accounting’、’user name’ 和 ‘https:.’即可。”
4月份,波斯顿学院报纸公布一起安全事件,其中指出公开的 Google Groups 页面包含数百份含有限制、机密或敏感信息的大学通信和相关文档,只要能访问波斯顿学院 G Suite,那么就能访问这些包含所有教职员工和被录取学生的内容。
研究人员指出,“鉴于这种信息的敏感特征,可能会引发鱼叉式钓鱼攻击、账户接管和多种特定案例的欺诈和滥用情况。”
漏洞尚未遭利用
好消息是,目前尚未发现漏洞遭利用的情况,尽管研究人员表示,“利用无需特殊工具或知识”, Google Groups 仍然公开的情况也是如此。
G Suite 管理员可立即通过链接 (https://admin.google.com/AdminHome?hl=en#ServiceSettings/service=google+groups+for+business¬ab=1) 检查自己的设置,保护自身和企业的安全。
本文由360代码卫士翻译自threatpost
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。