Filtración de datos privados en Google Drive: otra advertencia sobre los enlaces compartidos


8/07/2014

dataleak

Se ha descubierto un alarmante problema de privacidad en Google Drive que podría haber resultado en el acceso de usuarios no autorizados a información corporativa o personal confidencial almacenada en el servicio en la nube.

Esta vulnerabilidad, que ya ha sido solucionada por Google, pone en evidencia los peligros inesperados que pueden surgir al permitir que “cualquier usuario que tenga el enlace” acceda a sus datos privados sin más autenticación.

Cómo funciona

En pocas palabras, el riesgo existía si se almacenaban archivos que tuvieran alguna URL en la que se podía hacer clic, en el servicio para uso compartido de archivos en la nube.

Si alguien (usted u otra persona con quien hubiese compartido los permisos para acceder al archivo) abriera el archivo en el servicio basado en web e hiciera clic en el hipervínculo incrustado, el propietario del sitio web de terceros al que lleva el vínculo recibiría una URL de referencia.

Y, si este propietario accediera a esa URL de referencia, podría, potencialmente, acceder a su información confidencial.

Para facilitar la comprensión, aquí tiene un ejemplo bastante probable.

La Empresa X analiza la adquisición de la Empresa Z, pero no ha decidido cuánto debería ofrecer por la empresa que desea comprar.

Se almacena un PDF con diversas propuestas en Google Drive, y el enlace al archivo se comparte con algunas personas sénior dentro de la Empresa X.

No obstante, el archivo también contiene un enlace para hacer clic para ir al sitio web de la Empresa Z. Si alguna de las partes autorizadas accede al archivo y hace clic en el enlace, podría, sin darse cuenta, compartir la URL secreta a la información confidencial con los administradores del sitio web Z.

Si esta falla le resulta conocida, puede felicitarse a usted mismo. Es sorprendentemente similar a las vulnerabilidades de Dropbox que Intralinks descubrió a principios de este año. Se asemeja especialmente a la vulnerabilidad de divulgación de hipervínculos que ocasionó divulgación de declaraciones de rentas, registros bancarios, solicitudes de hipoteca, diseños y planes de negocios confidenciales. Dropbox reconoció el problema y lo solucionó.

Google explica la falla de seguridad

En una publicación de blog sobre cómo se ha tratado la falla de seguridad, Google se ha esforzado por explicar que el problema de seguridad únicamente afectó a un “pequeño grupo de tipos de archivo” en Google Drive.

Este problema es relevante únicamente si se cumplen todos los elementos a continuación:

  • El archivo se cargó a Google Drive
  • El archivo no se convirtió a Documento, Hoja de cálculo, o Presentación de Google (es decir, se conservó en su formato original como .pdf, .docx, etc.)
  • El propietario modificó la configuración de uso compartido de manera que el documento estuviera disponible para “cualquier usuario con el enlace”
  • El archivo poseía hipervínculos a sitios web HTTPS de terceros en su contenido


De ahora en adelante, dice Google, los nuevos documentos compartidos en Google Drive con enlaces a sitios web HTTPS de terceros no transmitirán más la URL del documento original.

Asegurar la protección del archivo

No obstante, sería prudente eliminar todos los documentos compartidos previamente en Google Drive que pudieran verse afectados por esta falla, después de crear una copia que pueda ser compartida nuevamente, de ser necesario.

No se debe olvidar que si se hubiese exigido a los usuarios autenticar su identidad para acceder a un enlace compartido en lugar de permitir un acceso libre a “cualquier usuario con el enlace”, esta falla de seguridad no hubiera existido.

El aumento de la “consumerización” o consumidorización significa que cada vez más oficinistas podrían estar utilizando sistemas para el consumidor en el uso compartido de datos confidenciales de negocios. Estos servicios para consumidores no ofrecen los controles y la aplicación de políticas que ayudarían a que su departamento de seguridad de TI durmiera más tranquilo por la noche.



Graham Cluley

Graham Cluley

Graham Cluley es un galardonado veterano de la industria de los antivirus; ha combatido el delito cibernético y creado conciencia sobre la seguridad computacional y las cuestiones de privacidad desde principios de la década de 1990. Encontrará más información en su blog de seguridad computacional o puede seguirlo en Twitter.

Manténgase INformado

Suscríbase a nuestro boletín de noticias para recibir análisis imprescindible del mercado y liderazgo de opinión, directamente en su bandeja de entrada. Este boletín se enviará en inglés.