Szerző: Hlács Ferenc

2015. március 13. 13:30

Százezrek adatait szivárogtatta ki a kritikus Google-hiba

Több mint 282 ezer doménhez tartozó, titkosított személyes adat került nyilvánosságra a Google Apps biztonsági hibájának köszönhetően. A szolgáltatás 2013 közepe óta szivárogtatta az adatokat, de a rést csak idén februárban foltozták be.

Majdnem két éve szivárogtatott személyes adatokat a Google Apps for Work rendszere: egy biztonsági hibának köszönhetően, a szolgáltatáson keresztül regisztrált több mint 282 ezer domén rejtett "whois" adatai, köztük személyes adatok váltak bárki számára hozzáférhetővé.

Azok sem jártak jobban, akik fizettek a biztonságért

A 2013-tól közepétől aktív szoftverhibára a Cisco Talos Security Intelligence and Research Group biztonsági szakértői hívták fel a figyelmet, idén február 19-én, a keresőóriás pedig öt napra rá foltozta be a sebezhetőséget. A Cisco elemzése szerint a Google Apps, az eNom domén regisztrátorral együttműködésben felvett doménjeinek mintegy 94 százaléka volt érintett az adatszivárgásban. A keresőóriás a regisztrátorokkal kötött partnerségének lényege, hogy leegyszerűsítse a tartománynevek megvásárlását és kezelését - ezt azóta már saját Google Domains szolgáltatásán keresztül már maga végzi.

Miért a Go a legjobban vágyott programozási nyelv? (x)

A HackerRank 2020-as kutatása szerint a legtöbb fejlesztő a Go-t tanulja majd meg legújabb nyelvének - nézzük miért!

Miért a Go a legjobban vágyott programozási nyelv? (x) A HackerRank 2020-as kutatása szerint a legtöbb fejlesztő a Go-t tanulja majd meg legújabb nyelvének - nézzük miért!

Az egyes doménekhez tartozó whois adatok nem feltétlenül felelnek meg a valóságnak, sok közöttük a hamis név vagy cím, ugyanakkor a vállalatokban bízva a regisztrálók általában hiteles információkat adnak meg - különösen ha olyan szolgáltatásokat is igénybe vesznek, mint a fentebb említett eNom ID Protect megoldása, amely kifejezetten a whois adatok védelmét ígéri, évi 6 dollár ellenében. A biztonsági rés azonban utóbbi előfizetőit sem kímélte, személyes adataik, beleértve teljes nevüket, telefonszámukat, lakcímüket és email címüket, a védtelen felhasználókéval együtt a nyilvánosságra kerültek.

Ha egyszer kikerült, örökre kint marad

A Google üzenetben figyelmeztette a hibára az érintett Google Apps adminisztrátorokat, amelyben elmondta, a problémát a Google Apps doménmegújító rendszerének hibája okozta, amely az eNomon keresztül, rejtett whois adatokkal végzett regisztrációkat nem hosszabbította meg az egyes doménregisztrációk megújításakor, és a későbbiekben a személyes adatokat nyilvánosként listázta.

A problémát tetézi, hogy miután számos szolgáltatás archiválja az elérhető whois adatokat, a kiszivárgott információk permanensen nyilvánossá váltak - ahogy arra blogposztjában a Cisco is rámutat. Azt nem kell részletezni, hogy a potenciális támadók számára is elérhetővé váló személyes adatok milyen veszélyeket rejtenek: a spamektől kezdve egészen a phishing támadásokig számos online fenyegetés kockázata megnő.

A biztonsági hiba komolyan - és jogosan - megingathatja a Google Apps felhasználók bizalmát a keresőóriásban, továbbá jól mutatja, hogy az apróbb rések mellett időnként jókora repedések is megjelenhetnek a vállalat pajzsán. A whois-szivárgást a kutatók a Google hasonló sebezhetőségek felfedezését jutalmazó Vulnerability Rewards programján keresztül jelentették.

Regisztrálj az ingyenes Cloud-native és DevOps tippek nagyvállatoknak konferenciára, ahol a Red Hat és az Alerant szakértői bemutatják a Kubernetes, OpenShift, microservice architektúrák gyakorlati alkalmazását!

a címlapról

privátháló

2

VPN-nel bővül a Google One

2020. október 30. 11:52

A vaskosabb előfizetésekhez a Google új, ajándék VPN szolgáltatást is hozzácsap.