Конфиденциальные данные тысяч организаций были раскрыты через «Группы Google»

Исследователи безопасности из компании Kenna Security выявили, что несколько тысяч организаий раскрывают свои конфиденциальные данные через некорректно настроенные группы в сервисе «Группы Google».

Сервис «Группы Google» позволяет пользователям создавать списки для рассылок, участвовать в обсуждениях и получать заявки на оказание техподдержки. Коммуникации данного типа могут содержать закрытую информацию, поэтому для компаний важно обеспечить правильную настройку параметров конфиденциальности и безопасности.

При настройке группы ее создатель должен установить параметр совместного доступа «Вне этого домена - доступ к группам» либо «Приватный», либо «Доступен через Интернет». По умолчанию установлен параметр «Приватный», однако многие организации устанавливают параметр «Доступен через Интернет», вероятно, не понимая, что таким образом любой пользователь может получить доступ к группе. Проанализировав порядка 2,5 млн доменов, исследователи выявили более 9,6 тыс. организаций, предоставивших публичный доступ к своим группам. По предварительным оценкам, порядка 3 тыс. компаний раскрыли таким образом какую-либо конфиденциальную информацию.

В число затронутых организаций входят компании из списка Fortune 500, университеты, больницы, медиа-холдинги, финансовые и государственные учреждения. Раскрытая информация включает в себя финансовые данные, пароли и внутренние документы.

Исследователи уведомили об утечке некоторые организации, а также саму Google, однако поскольку данная проблема не является уязвимостью и не может быть исправлена с помощью патча, техногигант опубликовал рекомендации по корректной настройке групп.