Спецпроекты

Безопасность Пользователю Стратегия безопасности Интернет Веб-сервисы Маркет

Секретная информация компаний утекает в Сеть из-за путаных инструкций Google

Около трети организаций, использующих в работе Google Groups и набор программного обеспечения G Suite, регулярно допускают утечки конфиденциальной информации в связи с некорректными настройками приложений Google. Таких организаций может быть более 10 тыс.

Закрыть-открыть

Эксперты компании Kenna Security выяснили, что более 31% организаций, использующих Google Groups и G Suite, рискуют в любой момент столкнуться с утечкой конфиденциальной информации из электронной почты.

G Suite - это набор облачных приложений для организации совместной работы, прежде называвшийся Google Apps for Work и Google Apps for your Domain. В набор входят все популярные приложения Google, адаптированые для корпоративных сред, - Gmail, Hangouts, Calendar и Google+; Docs, Sheets, Slides, Forms, Sites и Jamboard; Google Drive для хранения данных, и, в зависимости от тарифного плана - администраторская панель и решение Vault для управления пользовательскими аккаунтами и службами.

Ещё в 2017 г. Kenna Security опубликовали бюллетень, в котором указывалось, что из G Suite возможны утечки, но на него тогда не обратили достаточного внимания.

Проблема, по данным экспертов Kenna Security, заключается в том, что в настройках Google Groups используется «слишком сложная терминология» и не везде понятно, какие настройки в каких случаях требуются. В результате доступ к содержимому почтовых рассылок могут получать посторонние лица.

«Google Groups позволяют администратору G Suite создавать почтовые рассылки, в рамках которых только определённые пользователи будут получать почту, но одновременно для рассылки создаётся веб-интерфейс, доступный по ссылке groups.google.com.

Индивидуальные настройки приватности Google Group могут выставляться на уровнях отдельного домена и отдельной группы. В организациях, где были отмечены проблемы, значение настроек доступности групп извне домена (пункт Group Visibility в консоли admin.google.com) выставлена в значение Public on the Internet», - говорится в публикации Kenna Security.

goo700.jpg
Скриншот настроек Google Groups

«Если в настройках выставлено это значение, администраторы получают возможность публиковать материалы за пределами данной организации. Хотя это не значение по умолчанию, во многих организациях выставлено именно оно, поскольку, вероятнее всего, администраторы не понимали возможных последствий. Никаких предупреждений о вероятных последствиях, кроме как предложенного описания, не даётся», - указывают эксперты.

На приведённом скриншоте рядом с Public on the Internet говорится: «каждый в интернете может просматривать, искать или публиковать что-либо в группах».

С другой стороны ниже предлагается выставить разрешение на просмотр тем для рассылок в Groups for Business, и там есть можно выставлять любые ограничения. Однако ключевым является пункт «доступ к группам вне домена».

Google: «Не видим проблемы»

Представители Kenna Security пытались убедить Google сделать настройки (ещё более) очевидными и понятными, однако в Google не видят проблемы и не планируют ничего менять.

Между тем, в числе организаций, чьи внутренние рассылки могут быть доступны извне всем желающим, - несколько компаний из списка Fortune 500, больницы, университеты и колледжи, газеты и телестанции и даже некоторые государственные ведомства в США, - то есть, организации, которые по определению должны с большой щепетильностью относиться к защите информации.

goo600.jpg
Kenna Security обвинила в утечках конфиденциальной информации
в интернет путаные инструкции и настройки Google Groups

«При подготовке данной работы команда провела обширное исследование 2,5 млн доменов в поисках «открытых» конфигураций. После обнаружения 9637 организаций с «открытыми» настройками Google Groups, команда использовала выборку, насчитывавшую 171 организацию, что даёт примерно 90% уровень достоверности. В итоге исследователи смогли определить, что примерно из 3000 организаций происходят утечки тех или иных конфиденциальных данных. Экстраполяция изначальной выборки заставляет предположить, что более 10000 организаций в мире фактически выкладывают конфиденциальную информацию в общий доступ», - пишут исследователи.

По их данным, среди «общедоступных» рассылок оказались те, в которых публиковались и обсуждались платёжные и другие важные документы, а также рассылки, через которые производилось восстановление паролей.

Единственный способ закрыть «уязвимость», указывают авторы исследования, это всегда выставлять значение Private в настройках приватности и - читать мануалы внимательнее.

«Ситуация выглядит похожей на проблемы с настройками облаков Amazon S3, - ошибки в них часто приводили к тому, что критичные данные оказывались общедоступными или просто утекали не в те руки, - говорит Олег Галушкин, эксперт по информационной безопасности компании SEC Consult Services. - Удивительно другое: что проблему осознали только сейчас. Найти общедоступные рассылки Google Groups даже проще, чем открытые облачные ресурсы в Amazon».

Роман Георгиев

Короткая ссылка