Уязвимость в Google Drive может привести к утечке старых документов

logo

google-drive-logo Грэхем Клули (Graham Cluley), эксперт по безопасности, размышляет о новой бреши в сервисе Google Drive, которую лишь от части компания Google поправила. С его слов, это классический пример того, когда облачные службы становятся новыми угрозами для безопасности данных.

Очевидно, отчего компания Google занижает характер уязвимости, хотя они реально касается только малого количества файлов размещённых в Google Drive. Но главное в том, что данная брешь сервиса облачного хранения данных является концептуальной.

Документы хранятся на публичном хостинге и каждому из них присваивается особый URL. В настройке доступа к каждому документу можно выбрать «Всем в интернете», и в таком случае контент документа будет включен в поисковый индекс Google, который будет доступен всем. Иной вариант доступа к документу — это, «Всем, у кого есть ссылка». Вот тут-то и проявляется уязвимость. В случае когда кто-то из тех, кто имеет ссылку посетит документ и кликнет по ссылке, которая встроена в данный документ, то посторонние смогут выяснить данный URL из логов веб-сервера, где он указывается как referrer.

На первый взор, обстоятельство относительно редкое и казалось бы не такое угрожающее. Хотя, Грэхем Клули приводит в пример реальные сценарии, когда может случиться утечка персональной информации. К примеру, некоторая компания ведёт тайные переговоры о предстоящем поглощении/слиянии иной компании, и отправляет URL со своей презентацией, размещённой на Google Drive, её сотрудникам. В презентации есть гиперссылкы на веб-сайты соперников. И если кто-либо нажимает по этим ссылкам, то соперники также смогут получить доступ к данной презентации, хотя как раз от них-то и планировалось держать переговоры в тайне, - ведь выбирая в настройках доступа «Всем, у кого есть ссылка», собственник документа рассчитывал, что прочесть его смогут лишь те, кому он предоставил сию веб-ссылку.

Для документов, которые сконвертированы в формат Google Docs, и, к которым собственник в перспективе может открыть доступ, Google запретила отправку referrer’ов, но не для старых уже опубликованных документов. Поэтому, старые файлы документов желательно бы удалить с Google Drive и создать новые вместо них.


http://collaboristablog.com/2014/07/google-drive-found-leaking-private-data-warning-shared-links/

Рекомендуемый контент

Добавить комментарий

АХТУНГ! Все комменты модерасятся модерастом. Мессаги исключительно рекламного или оскорбительного содержания не публикуются, а поэтому злостным спамерам, пранкерам и прочей сетевой нечисти рекомендуем напрасно не тратить своего времени и удовлетворять свои больные фантазии на специализированных Интернет ресурсах! Разумная же критика, замечания, дополнения и хвалебные оды приветствуются, также допускается легкий флуд или троллинг :)


Защитный код
Обновить

Новое на форуме