0
Christopher Schirner
En lille indstillinger fejl, som har resulteret i eksponering af fortrolige forretning, e-mails og medarbejder data, og forskere har advaret om.
Mandag, RedLock afsløret i et blogindlæg, at virksomheder, bl.a. IBM ‘ s Vejr Virksomhed, Fusion Media Group — i moderselskabet af virksomheder, herunder Gizmodo, Løg, og Lifehacker-samt helpdesk support udbyder Freshworks-og video-annonce-platform SpotX blev ramt af spørgsmål om sikkerhed.
Ifølge holdet, “hundredvis” af Google Grupper har offentligt eksponeret meddelelser, der indeholder følsomme oplysninger, som tilhører sådanne selskaber, alt sammen på grund af en kunde-kontrolleret konfiguration fejl i tjenesten.
Google Grupper er, der anvendes af virksomheder som et fælles værktøj og kommunikationsplatform. E-mail-baserede grupper bruges til at opretholde kommunikation og kontrol af beskeder mellem holdene, men når disse grupper er oprettet med det “offentlige på Internettet” indstilling for deling snarere end “private” gennem “Uden for dette domæne — adgang til grupper” – fanen, meddelelser, der sendes mellem medlemmer kan ses offentligt, uden at kravet om at være et medlem af gruppen.
RedLock forskerne fandt, at e-mail-adresser, e-mail-indhold, personligt identificerbare oplysninger (PII), herunder medarbejdernes løn, kompensation, salgspipeline data, kunde-adgangskoder, navne og adresser på hundredvis af virksomheder, der blev efterladt online for verden at se.
Screenshot billeder ses af ZDNet kontrolleret eksponering af oplysninger, som tilhører Fusion Media Group, og SpotX som omfattede e-mail-meddelelser, kontaktoplysninger og personlige diskussioner mellem ledere og medarbejdere.
Selvom det ikke er en sikkerhedsbrist i sig selv, og snarere en funktion af Google Grupper, som kan være nyttig for nogle, men denne hændelse viser, at en simpel forglemmelse af en indstilling kan potentielt have katastrofale følger for virksomhederne.
Bør denne corporate information udnyttes, corporate konti kan blive kapret, oplysninger, der kan udvindes for phishing-angreb, og følsomme samtaler ikke er egnet til den offentlige sfære kan blive lækket.
For at forhindre sådan en masse eksponering af private data igen er tilbage for nogen på Internettet for at se, RedLock anbefaler, at virksomheder, der straks ind på deres Google-Grupper for at sikre dig den indstilling, der er “Uden for dette domæne — adgang til grupper” er sat til “privat”.
“Simple fejlkonfiguration fejl-uanset om i SaaS-applikationer eller cloud infrastruktur — kan have potentielt ødelæggende virkninger,” sagde Varun Badhwar, CEO og medstifter af RedLock. “De seneste data lækager på virksomheder, såsom Dyb Rod Analytics, WWE, og Booz Allen Hamilton har vist, at de konsekvenser, disse simple fejl kan have.”
“I dagens miljø, er det bydende nødvendigt, at enhver organisation tage skridt til at uddanne medarbejdere på sikkerhed, bedste praksis og udnytte værktøjer, der kan automatisere processen med at sikre programmer, arbejdspres og andre systemer,” Badhwar tilføjet.
Se også: Tor-netværket vil betale dig for at hacke det gennem nye bug bounty program
Tidligere i denne måned, udenomsægteskabelige affærer hjemmeside Ashley Madison, der tilbydes brugerne fanget i et data, brud på $11 millioner i erstatning. Men indehaverne af de omkring 36 millioner konti, der er involveret i data lækage vil have til at bevise, at de ejede deres konti og har oplevet tab på grund af hændelsen.
Mere sikkerhed nyheder
Dump slange olie og vis sikkerhed forskere lidt respekt
Nye detaljer op på Fruitfly, en nær-målbart Mac bagdør
Petya ransomware: Virksomheder er stadig beskæftiger sig med eftervirkningerne af den globale cyberattack
iCloud sikkerhedshul sætte iPhone, Mac adgangskoder i fare
0