Nem mindig a szoftver a hunyó, amikor adatszivárgás történik. Kifejezetten a felhasználók hanyagságára, felelőtlenségére, esetleg tudatlanságára vezethető vissza, hogy a közelmúltban egy amerikai biztonsági cég, a Kenna Security több ezer olyan Google Group-ot talált, amiből sok esetben érzékeny információk szivárognak. A Google-nek is elküldték az elemzést, de a cég ebben az esetben csak annyit tudott tenni, hogy írta egy a korábbiaknál még szájbarágósabb használati utasítást a szolgáltatás konfigurálásához.

Közel tízezer csoport nyilvánosra volt állítva

Bár az arány elenyészőnek is tekinthető, a Google Groups alapértelmezett beállításai miatt mégis hajmeresztő, hogy a megvizsgált 2,5 millió domainből közel tízezer olyant találtak, amelynél olyan Google Groupokat használtak, melyeket bárki elérhetett az internetről, azaz beállítását átállították nyilvánosra. Igen, átállították, ugyanis a csoportok létrehozásakor az alapbeállítás "privát".

És ehhez nem kell különösebb szaktudás, akár véletlenül is rá lehet bukkanni ilyen csoportokra. Mielőtt azt gondolná valaki, hogy ez lehetetlen: ilyen véletlennek köszönhetően vette meg valaki a google.com domaint 2015-ben 12 dollárért magától a Google-től. A probléma nem csak kis cégeket érint, az érintettek közülük több is szerepel például a Fortune 500-as listán. Vannak köztük pénzintézetek, kórházak, egyetemek és médiavállalatok is..

A csoportokban megosztott dokumentumokban halomban álltak az értékes infók: pénzügyi adatok, jelszavak és mindenféle egyéb dokumentumok tele bizalmas információkkal.

Ez a cikk független szerkesztőségi tartalom, mely a T-Systems Magyarország támogatásával készült. Részletek »

A Kenna Security ereményei azért is szomorúak, mert a probléma időről időre publicitást kap. Tavaly például a RedLock adott ki egy anyagot erről – beállítási tanácsokkal egyetemben.

Lassan mondom, hogy mindenki értse...

Ebben az esetben a Google tényleg nem tudott mást tenni, mint közzétett egy felhívást, amelyben kéri a szolgáltatás használóit, illetve a vállalati üzemeltetőit, hogy ellenőrizzék a beállításokat. A felhíváshoz mellékeltek egy javaslatot is a Google Groups helyes és optimális beállításához.

Ebben külön felhívják a figyelmet arra, hogy már azzal is nagyon sokat tettünk a csoportban keringő adatok biztonságáért, ha nem piszkálunk át semmit. Alapértelmezésben ugyanis csak az adott domainhez tartozók hozhatnak létre csoportokat, és az abban megosztott információkat is csak domainen belülről láthatják, egy csoporttag sem állíthatja át nyilvánosra a csoportot, és nem is lehet felvenni domainen kívüli tagot. A szolgáltatás egyébként figyelmezteti is a felhasználót, ha erre kísérletet tesz.