新闻快讯
< >

Google网上论坛配置错误导致数百家企业机密数据在线曝光

安全公司 RedLock 研究人员发现 Google Groups 在线服务出现配置错误,导致 IBM’s Weather Company 、Fusion Media Group、协助桌面支持服务提供商 Freshworks 与视频广告平台 SpotX 等数百家企业机密数据在线曝光。

Google Groups 作为企业协作工具与交流平台,负责团队通信维护与邮件管理。当这些电子邮件组被设置为公开状态而非内部共享时,无需成为内部成员即可公开查看成员之间发送的内部消息。

Google网上论坛配置错误导致数百家企业机密数据在线曝光-E安全

RedLock 研究人员发现,此次事件致使受害企业员工电子邮件地址与内容,以及员工薪酬补偿、销售渠道数据、客户密码、姓名与家庭地址等个人身份信息在线泄露,可供全球用户任意查看。

值得深思的是,引发这起数据泄露事件并非安全漏洞,仅是 Google Groups 功能设置。但这一事件表明,任何一次操作疏忽都将对企业产生毁灭性影响。一旦网络犯罪分子获取这些企业信息,就可用来劫持企业帐户、开展网络钓鱼攻击以及在线泄露敏感谈话内容等。

目前,为防止数据信息再次泄露,研究人员建议各企业立即检查 Google Groups 设置,确保访问权限设置为“不公开”,以确保域名访问权限切换至内部成员使用。。

Google网上论坛配置错误导致数百家企业机密数据在线曝光-E安全

RedLock首席执行官兼联合创始人瓦伦·巴德瓦尔(Varun Badhwar)表示:“即使再简单的配置错误都带来极其严重的潜在破坏性,无论是在SaaS应用还是云计算基础架构中  。”

Badhwar指出,诸如Deep Root Analytics、WWE和Booz Allen Hamilton的数据泄露事件,就是因为这样简单的错误配置引发的。

Badhwar还解释说:“RedLock CSI团队发现的这个新问题可能会导致数百家企业的敏感信息遭到泄露,而这只需要点击一个按钮即可。在当今互联网环境,每个企业都应该采取必要的措施,要求员工去了解安全操作规范以及利用自动化进程的安全应用程序和其他系统流程工具。例如,在云计算中,一个资源平均只存在127分钟,单靠IT团队,无法跟上这种快速的变化。