Povjerljivi podaci hiljada organizacija javno dostupni na internetu

Google je izdao upozorenje korisnicima G Suite programskog paketa. Upozorenje se odnosi na pogrešnu konfiguraciju Google Groups servisa koja je dovela do toga da hiljade organizacija javno djele svoje povjerljive informacije.

Google Groups servis ima mogućnost kreiranje email lista, postavljanja internih diskusija i procesiranja tiketa upućenih tehničkoj podršci. Ovakav vid komunikacije može sadržavati povjerljive podatke, te je bitno da se zaštita privatnosti i bezbjednosti adekvatno konfiguriše.

Prilikom konfiguracije jedan od opcija je i „pristup grupama nalozima koje nisu sa ovog domena“ (Outside this domain – access to groups). Opcija ima dvije vrijednosti, Private koja zabranjuje pristup nalozima van domena i Public on the Internet koja omogućava pristup bilo kome. Podrazumijevana vrijednost je Private, ali se pokazalo da mnoge organizacije pogrešno konfigurišu ova podešavanja.

Istraživači iz Kenna Security su sproveli analizu peko 2.5 miliona domena i identifikovali preko 9 600 organizacija koje dozvoljavaju pristup grupama bilo kome. Nakon ovog istraživači su detaljnije pogledali uzorak od 171 nasumično izabrane grupe. Podaci do kojih su došli dovode do procjene da je oko 3 000 pogođenih kompanija objavilo povjerljive podatke na svojim grupama.

Među pogođenim organizacijama su kompanije sa Fortune 500 liste, univerziteti, bolnice, finansijske institucije i neke vladine agencije. Otkrivene informacije uključuju finansijske informacije, lozinke i povjerljive dokumente.

Istraživači su obavijestili pogođene organizacije o ovom propustu.

Izvor:securityweek.com