:

Szerző: Hlács Ferenc

2015. március 13. 13:30

Százezrek adatait szivárogtatta ki a kritikus Google-hiba

Több mint 282 ezer doménhez tartozó, titkosított személyes adat került nyilvánosságra a Google Apps biztonsági hibájának köszönhetően. A szolgáltatás 2013 közepe óta szivárogtatta az adatokat, de a rést csak idén februárban foltozták be.

Majdnem két éve szivárogtatott személyes adatokat a Google Apps for Work rendszere: egy biztonsági hibának köszönhetően, a szolgáltatáson keresztül regisztrált több mint 282 ezer domén rejtett "whois" adatai, köztük személyes adatok váltak bárki számára hozzáférhetővé.

Azok sem jártak jobban, akik fizettek a biztonságért

A 2013-tól közepétől aktív szoftverhibára a Cisco Talos Security Intelligence and Research Group biztonsági szakértői hívták fel a figyelmet, idén február 19-én, a keresőóriás pedig öt napra rá foltozta be a sebezhetőséget. A Cisco elemzése szerint a Google Apps, az eNom domén regisztrátorral együttműködésben felvett doménjeinek mintegy 94 százaléka volt érintett az adatszivárgásban. A keresőóriás a regisztrátorokkal kötött partnerségének lényege, hogy leegyszerűsítse a tartománynevek megvásárlását és kezelését - ezt azóta már saját Google Domains szolgáltatásán keresztül már maga végzi.

Machine recruiting: nem biztos, hogy szeretni fogod

Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

Machine recruiting: nem biztos, hogy szeretni fogod Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

Az egyes doménekhez tartozó whois adatok nem feltétlenül felelnek meg a valóságnak, sok közöttük a hamis név vagy cím, ugyanakkor a vállalatokban bízva a regisztrálók általában hiteles információkat adnak meg - különösen ha olyan szolgáltatásokat is igénybe vesznek, mint a fentebb említett eNom ID Protect megoldása, amely kifejezetten a whois adatok védelmét ígéri, évi 6 dollár ellenében. A biztonsági rés azonban utóbbi előfizetőit sem kímélte, személyes adataik, beleértve teljes nevüket, telefonszámukat, lakcímüket és email címüket, a védtelen felhasználókéval együtt a nyilvánosságra kerültek.

Ha egyszer kikerült, örökre kint marad

A Google üzenetben figyelmeztette a hibára az érintett Google Apps adminisztrátorokat, amelyben elmondta, a problémát a Google Apps doménmegújító rendszerének hibája okozta, amely az eNomon keresztül, rejtett whois adatokkal végzett regisztrációkat nem hosszabbította meg az egyes doménregisztrációk megújításakor, és a későbbiekben a személyes adatokat nyilvánosként listázta.

A problémát tetézi, hogy miután számos szolgáltatás archiválja az elérhető whois adatokat, a kiszivárgott információk permanensen nyilvánossá váltak - ahogy arra blogposztjában a Cisco is rámutat. Azt nem kell részletezni, hogy a potenciális támadók számára is elérhetővé váló személyes adatok milyen veszélyeket rejtenek: a spamektől kezdve egészen a phishing támadásokig számos online fenyegetés kockázata megnő.

A biztonsági hiba komolyan - és jogosan - megingathatja a Google Apps felhasználók bizalmát a keresőóriásban, továbbá jól mutatja, hogy az apróbb rések mellett időnként jókora repedések is megjelenhetnek a vállalat pajzsán. A whois-szivárgást a kutatók a Google hasonló sebezhetőségek felfedezését jutalmazó Vulnerability Rewards programján keresztül jelentették.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról

handheld

11

Új kézi konzolon dolgozhat a Sony

2024. november 25. 12:10

Az újdonság a Portalra épülhet és PS5-ös játékokat lehetne vele mobilizálni - felhőszolgáltatás nélkül.