Google Apps for Work, privacy violata per 283mila domini
Transcript
Google Apps for Work, privacy violata per 283mila domini
NOTIZIARIO DIPENDENTI PAGINA 5 Google Apps for Work, privacy violata per 283mila domini Il problema è ora stato risolto, ma probabilmente è troppo tardi: tramite il protocollo di rete Whois è possibile rintracciare identità e dati sensibili degli utilizzatori del servizio. La trasparenza è importante, ma un eccesso può essere davvero pericoloso. Ne sa qualcosa Big G, che è stata colpita da una fuga di dati relativa alla sua suite di software per il lavoro, la Google Apps for Work. Un bug nel modulo di sottoscrizione alla suite per il lavoro di Big G ha causato la pubblicazione di migliaia di informazioni riservate Un bug a livello di registrazione ha infatti resi pubblici ben 283mila record contenenti identità personalidei sottoscrittori del servizio, il 94% del totale secondo Cisco. La procedura per usufruire delle funzionalità delle app di Mountain View è abbastanza semplice, ed è gestita in collaborazione con il registrar eNom: è sufficiente registrare un dominio tramite Google e il gioco è fatto. Prima del 2012, il modulo riportava anche un’opzione supplementare, che consentiva agli utenti di rendere private le informazioni di tipo "Whois" al costo di sei dollari. Di che cosa si tratta? Il protocollo di rete Whois consente di stabilire a quali provider appartiene un certo indirizzo Ip o un Dns. Nel Whois vengono riportate in genere anche informazioni sull’intestatario del dominio o altri dati di contatto e funziona, come una sorta di rubrica del Web. Come per l’elenco telefonico, è possibile cancellarsi e mantenere quindi privata la propria identità. In teoria, infatti, la registrazione a Google App for Work prevedeva esplicitamente la secretazione di questi record. Vero, ma a quanto pare soltanto per un anno: in caso di rinnovo del servizio la funzione non veniva aggiornata e, dunque, addio privacy. Google ha provato a chiudere poi la stalla, risolvendo il problema, ma i buoi erano ormai scappati: “Ci è stato recentemente segnalato un difetto del nostro Vulnerability Rewards Program riguardante l’integrazione tra Google App e l’Api di registrazione domini di eNom”, hanno dichiarato da Mountain Pentha servizi Integrati per le imprese PAG. 5 NOTIZIARIO DIPENDENTI PAGINA 6 View. “Abbiamo scoperto la radice del problema, implementato gli accorgimenti necessari e stiamo ora contattando i clienti interessati. Ci scusiamo per tutti gli inconvenienti che questa situazione potrebbe avere causato”. L’involontaria pubblicazione di migliaia di informazioni potrebbe anche rappresentare un ottimo modo per scoprire tutti quei siti Web con una pessima reputazione, provando così a collegarli ai loro proprietari. Ad esempio, sempre secondo Cisco Talos, il gruppo di intelligence dell’azienda di sicurezza, si trovano anche indirizzi come “federalbureauinvestigations.com”, che non è sicuramente il sito ufficiale della Fbi. Però, all’estremo opposto, si possono trovare anche dati sensibili la cui segretezza non vuole nascondere intenti criminosi. In aggiunta, queste informazioni potrebbero essere utilizzate dagli hacker per tentativi di phishing più verosimili, sfruttando proprio nomi e cognomi resi pubblici dal bug di Big G ed eNom. Considerando che Internet non dimentica mai e che ormai tutta questa mole di dati è stata resa pubblica per sempre, non sono proprio giorni felici per gli utenti di Google Apps for Work. Fonte: ICT Business Pentha servizi Integrati per le imprese PAG. 6