Google Apps for Work, privacy violata per 283mila domini

NOTIZIARIO DIPENDENTI
PAGINA 5
Google Apps for Work, privacy violata per 283mila
domini
Il problema è ora stato risolto, ma probabilmente è troppo
tardi: tramite il protocollo di rete Whois è possibile rintracciare
identità e dati sensibili degli utilizzatori del servizio.
La trasparenza è importante, ma un eccesso può essere
davvero pericoloso. Ne sa qualcosa Big G, che è stata colpita da
una fuga di dati relativa alla sua suite di software per il lavoro, la
Google Apps for Work.
Un bug nel modulo di
sottoscrizione alla suite
per il lavoro di Big G ha
causato la
pubblicazione di
migliaia di informazioni
riservate
Un bug a livello di registrazione ha infatti resi pubblici ben
283mila record contenenti identità personalidei sottoscrittori del
servizio, il 94% del totale secondo Cisco.
La procedura per usufruire delle funzionalità delle app di
Mountain View è abbastanza semplice, ed è gestita in
collaborazione con il registrar eNom: è sufficiente registrare un
dominio tramite Google e il gioco è fatto.
Prima del 2012, il modulo riportava anche un’opzione
supplementare, che consentiva agli utenti di rendere private le
informazioni di tipo "Whois" al costo di sei dollari.
Di che cosa si tratta? Il protocollo di rete Whois consente di
stabilire a quali provider appartiene un certo indirizzo Ip o un Dns.
Nel Whois vengono riportate in genere anche informazioni
sull’intestatario del dominio o altri dati di contatto e funziona, come
una sorta di rubrica del Web.
Come per l’elenco telefonico, è possibile cancellarsi e
mantenere quindi privata la propria identità. In teoria, infatti, la
registrazione a Google App for Work prevedeva esplicitamente la
secretazione di questi record.
Vero, ma a quanto pare soltanto per un anno: in caso di
rinnovo del servizio la funzione non veniva aggiornata e, dunque,
addio privacy.
Google ha provato a chiudere poi la stalla, risolvendo il
problema, ma i buoi erano ormai scappati: “Ci è stato
recentemente segnalato un difetto del nostro Vulnerability Rewards
Program riguardante l’integrazione tra Google App e l’Api di
registrazione domini di eNom”, hanno dichiarato da Mountain
Pentha servizi Integrati per le imprese PAG.
5
NOTIZIARIO DIPENDENTI
PAGINA 6
View. “Abbiamo scoperto la radice del problema, implementato
gli accorgimenti necessari e stiamo ora contattando i clienti
interessati. Ci scusiamo per tutti gli inconvenienti che questa
situazione potrebbe avere causato”.
L’involontaria pubblicazione di migliaia di informazioni
potrebbe anche rappresentare un ottimo modo per scoprire tutti
quei siti Web con una pessima reputazione, provando così a
collegarli ai loro proprietari. Ad esempio, sempre secondo Cisco
Talos, il gruppo di intelligence dell’azienda di sicurezza, si trovano
anche indirizzi come “federalbureauinvestigations.com”, che non è
sicuramente il sito ufficiale della Fbi.
Però, all’estremo opposto, si possono trovare anche dati
sensibili la cui segretezza non vuole nascondere intenti criminosi. In
aggiunta, queste informazioni potrebbero essere utilizzate dagli
hacker per tentativi di phishing più verosimili, sfruttando proprio
nomi e cognomi resi pubblici dal bug di Big G ed eNom.
Considerando che Internet non dimentica mai e che ormai
tutta questa mole di dati è stata resa pubblica per sempre, non
sono proprio giorni felici per gli utenti di Google Apps for Work.
Fonte: ICT Business
Pentha servizi Integrati per le imprese PAG.
6