Vazamento de dados privados descoberto no Google Drive — mais um alerta sobre links compartilhados

A disturbing privacy problem has been discovered in Google Drive which could have resulted in sensitive information being accessed by unauthorised parties.


8/07/2014

dataleak

Foi identificado um problema perturbador ligado à privacidade no Google Drive, que pode ter permitido acesso a informações pessoais ou corporativas confidenciais armazenadas no serviço em nuvem por entidades não autorizadas.

A falha de segurança, já corrigida pelo Google, salienta os riscos inesperados que podem surgir quando permitimos que “qualquer um que tenha o link” acesse seus dados privados sem autenticação adicional.

Como funciona

Em resumo, havia risco no armazenamento de arquivos que incluíam um URL clicável no serviço de compartilhamento de arquivos na nuvem.

Se alguém (você, ou alguém com quem você compartilhou permissões para acesso ao arquivo) abre o arquivo no serviço da Web e clica no hiperlink incorporado, o proprietário do outro site ao qual o link está vinculado pode receber uma URL referenciadora.

E, se alguém acessou a essa URL, as suas informações confidenciais também podem ter sido acessadas.

Para ficar mais fácil de entender, vamos discutir um cenário que não é totalmente implausível.

A empresa X está pensando em adquirir a empresa Z, mas ainda não decidiu quanto deve oferecer pela empresa que pretende incorporar.

Um PDF contendo diversas propostas é armazenado no Google Drive e o link para o arquivo é compartilhado com diversas pessoas da direção da Empresa X.

No entanto, o arquivo também contém um link clicável incorporado ao website da Empresa Z. Se a pessoa com autorização acessar o arquivo e depois clicar no link, ela pode compartilhar, inadvertidamente, o URL secreto para as informações confidenciais com os administradores do website Z.

Se a falha lhe parece familiar, parabéns: essa situação tem semelhanças surpreendentes com as vulnerabilidades do Dropbox descobertas pela Intralinks neste ano. Ela se assemelha particularmente à vulnerabilidade de divulgação de um hiperlink que causou a exposição de devoluções sigilosas de imposto de renda, dados bancários, formulários para a solicitação de hipotecas, projetos e planos de negócios. O Dropbox reconheceu e corrigiu o problema.

O Google explica a falha de segurança

Em uma publicação do blog sobre como solucionou essa falha de segurança, o Google fez todo o possível para explicar que a falha de segurança afetou apenas “um pequeno subconjunto de tipos de arquivos” no Google Drive:

Esta questão é relevante apenas se todas as opções abaixo forem aplicáveis:

  • O arquivo foi enviado para o Google Drive.
  • O arquivo não foi convertido para Documentos, Planilhas ou Slides (isto é, permaneceu em seu formato original, como .docx, .pdf, etc.).
  • O proprietário mudou as configurações de compartilhamento, tornando o documento disponível para “qualquer um que tivesse o link”.
  • O arquivo continha hiperlinks para sites HTTPS de terceiros no seu conteúdo.

De agora em diante, segundo o Google, documentos recentemente compartilhados no Google Drive com links para sites de HTTPS de terceiros já não retransmitirão o URL do documento original.

Garantir a proteção de arquivos

Seria sensato, no entanto, excluir qualquer documento do Google Drive compartilhado anteriormente que possa ter sido afetado pela falha, após a criação de uma cópia que pode ser compartilhada novamente, se necessário.

Não devemos esquecer que, se tivesse sido exigida uma autenticação dos usuários para acessar um link compartilhado, em vez de conceder acesso a “qualquer um que tenha o link”, essa falha de segurança não teria ocorrido.

A ascensão da “consumerização” significa que um número cada vez maior de funcionários do escritório pode estar usando sistemas de nível não empresarial para compartilhamento de dados comerciais sigilosos. Esses serviços para consumidores não fornecem os controles e a aplicação de políticas que poderiam ajudar a dar mais tranquilidade ao departamento de segurança de TI.



Graham Cluley

Graham Cluley

Graham Cluley é um veterano premiado do setor de antivírus. Vem lutando contra os crimes cibernéticos e aumentando a conscientização sobre questões de privacidade e segurança de computadores desde o início dos anos 1990. Saiba mais no blog de segurança de computadores dele ou siga-o no Twitter.

Fique por dentro

Inscreva-se em nossa newsletter para receber análises de mercado e inspirações de liderança imperdíveis diretamente no seu e-mail. Esta newsletter será enviada em inglês.