WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
444 bài viết
Lỗi cấu hình sai của dịch vụ Google Groups khiến rò rỉ dữ liệu doanh nghiệp
Các nhà nghiên cứu cho biết hơn 10.000 doanh nghiệp bị ảnh hưởng bởi lỗi cấu hình sai phổ biến trong cài đặt của dịch vụ Google Groups.
Lỗi này khiến các doanh nghiệp bị rò rỉ dữ liệu. Các quản trị viên đã nhanh chóng rà soát việc cài đặt và kiểm tra xem có bao nhiêu danh sách gửi email trên Google Group của mình được cấu hình là public và được cấp bởi Google.com
Các doanh nghiệp dùng ứng dụng G Suite có quyền truy cập Google Groups, một dịch vụ được tích hợp với danh sách gửi mail của doanh nghiệp, cung cấp việc thảo luận giữa các nhóm. Các nhà nghiên cứu tại Kenna Security cùng với KrebsOnSecurity đã phân loại hàng nghìn doanh nghiệp sử dụng dịch vụ Google Groups công khai để hỗ trợ khách hàng và trao đổi thông tin với các doanh nghiệp tư nhân.
Quản trị viên có thể vô tình để lộ bản danh sách email, hậu quả từ “sự phức tạp của thuật ngữ” và “organization-wide vs. group-specific permissions” (tính năng chia sẻ giữa các tổ chức và các nhóm). Hơn 9.600 đơn vị, bao gồm bệnh viện, các trường đại học, các công ty truyền thông, các cơ quan chính phủ, các tổ chức thuộc top Fortune 500 cài đặt dịch vụ Google Group là public. Trong số này, các nhà nghiên cứu đã tìm thấy 3.000 doanh nghiệp rò rỉ email nhạy cảm.
Quản trị viên của G Suite có thể sử dụng Google Group để tạo danh sách gửi mail cho các nhóm chat cụ thể. Các nhóm này có thể thêm nhiều người và nguy cơ đối với doanh nghiệp sẽ tăng lên nếu những người này có thể tạo những tài khoản công khai trên các nhóm được xem là riêng tư. Kết quả là nhiều doanh nghiệp không biết họ đã bị rò rỉ dữ liệu trong danh sách tin nhắn của mình.
Dịch vụ Google Group được cài đặt mặc định là private và việc cài đặt có thể được điều chỉnh trên cơ sở tên miền hoặc theo nhóm. Nhiều doanh nghiệp có các nhóm được cấu hình theo chế độ hiển thị là “Public on the Internet”. Kết quả là, dịch vụ Google Group đã rò rỉ thông tin, khiến các email riêng tư lại bị public, có thể tìm kiếm trên Google. Điều này làm lộ mật khẩu, dữ liệu tài chính, tên người lao động, địa chỉ và địa chỉ email.
Krebs cho biết, không khó để lấy dữ liệu này. Hầu hết các trường hợp, tất cả những gì bạn cần làm là truy cập vào trang Google Group public của tổ chức và nhập thông tin tìm kiếm: mật khẩu, tài khoản, nhân sự và tên người dùng. Doanh nghiệp thường sử dụng Google Group để lưu trữ email hỗ trợ khách hàng, thường có cả dữ liệu cá nhân.
Nguy cơ này không chỉ đối với dữ liệu khách hàng. Google Group được cấu hình thành public cũng có thể khiến dữ liệu doanh nghiệp và các nguồn nội bộ bị lộ trên Internet. Cuộc điều tra của Kenna đã phát hiện ra những email thật sự có thông tin đăng nhập GitHub, khôi phục mật khẩu, hoá đơn và một số tài liệu khác.
Theo báo cáo của Kenna: “Tuỳ vào tính chất của các thông tin nhạy cảm này, hậu quả có thể bao gồm tấn công spearphishing (đánh cắp mật khẩu và thông tin qua thư điện tử), chiếm tài khoản, hàng loạt các vụ lừa đảo và lạm dụng khác”.
Để cài đặt, người dùng truy cập vào https:// admins.google.com, tìm kiếm từ khoá “Groups Visibility”. Trừ khi nhóm của bạn yêu cầu các nhóm khác có quyền truy cập bởi người dùng bên ngoài, Kenna khuyến cáo nên chuyển chế độ cài đặt dịch vụ Google Group theo mức độ tên miền thành private. Các nhà nghiên cứu khuyên người dùng kiểm tra việc cài đặt nhóm cá nhân để xác định liệu họ có được cấu hình đúng hay không.
Để kiểm tra xem dữ liệu của bạn có bị bên thứ ba nhìn thấy hay không, bạn có thể kiểm tra tính năng Google Groups, ghi lại số lượt view. Đáng chú ý là cuộc điều tra của Kenna cho thấy con số này bằng 0 đối với hầu hết các doanh nghiệp bị ảnh hưởng, cho thấy chỉ một số ít người dùng, hoặc nếu có sử dụng giao diện này cho các mục đích xấu.
Các bạn có thể xem hướng dẫn để điều chỉnh các cài đặt trên Google Group tại đây.
Lỗi này khiến các doanh nghiệp bị rò rỉ dữ liệu. Các quản trị viên đã nhanh chóng rà soát việc cài đặt và kiểm tra xem có bao nhiêu danh sách gửi email trên Google Group của mình được cấu hình là public và được cấp bởi Google.com
Các doanh nghiệp dùng ứng dụng G Suite có quyền truy cập Google Groups, một dịch vụ được tích hợp với danh sách gửi mail của doanh nghiệp, cung cấp việc thảo luận giữa các nhóm. Các nhà nghiên cứu tại Kenna Security cùng với KrebsOnSecurity đã phân loại hàng nghìn doanh nghiệp sử dụng dịch vụ Google Groups công khai để hỗ trợ khách hàng và trao đổi thông tin với các doanh nghiệp tư nhân.
Quản trị viên có thể vô tình để lộ bản danh sách email, hậu quả từ “sự phức tạp của thuật ngữ” và “organization-wide vs. group-specific permissions” (tính năng chia sẻ giữa các tổ chức và các nhóm). Hơn 9.600 đơn vị, bao gồm bệnh viện, các trường đại học, các công ty truyền thông, các cơ quan chính phủ, các tổ chức thuộc top Fortune 500 cài đặt dịch vụ Google Group là public. Trong số này, các nhà nghiên cứu đã tìm thấy 3.000 doanh nghiệp rò rỉ email nhạy cảm.
Quản trị viên của G Suite có thể sử dụng Google Group để tạo danh sách gửi mail cho các nhóm chat cụ thể. Các nhóm này có thể thêm nhiều người và nguy cơ đối với doanh nghiệp sẽ tăng lên nếu những người này có thể tạo những tài khoản công khai trên các nhóm được xem là riêng tư. Kết quả là nhiều doanh nghiệp không biết họ đã bị rò rỉ dữ liệu trong danh sách tin nhắn của mình.
Krebs cho biết, không khó để lấy dữ liệu này. Hầu hết các trường hợp, tất cả những gì bạn cần làm là truy cập vào trang Google Group public của tổ chức và nhập thông tin tìm kiếm: mật khẩu, tài khoản, nhân sự và tên người dùng. Doanh nghiệp thường sử dụng Google Group để lưu trữ email hỗ trợ khách hàng, thường có cả dữ liệu cá nhân.
Nguy cơ này không chỉ đối với dữ liệu khách hàng. Google Group được cấu hình thành public cũng có thể khiến dữ liệu doanh nghiệp và các nguồn nội bộ bị lộ trên Internet. Cuộc điều tra của Kenna đã phát hiện ra những email thật sự có thông tin đăng nhập GitHub, khôi phục mật khẩu, hoá đơn và một số tài liệu khác.
Theo báo cáo của Kenna: “Tuỳ vào tính chất của các thông tin nhạy cảm này, hậu quả có thể bao gồm tấn công spearphishing (đánh cắp mật khẩu và thông tin qua thư điện tử), chiếm tài khoản, hàng loạt các vụ lừa đảo và lạm dụng khác”.
Để cài đặt, người dùng truy cập vào https:// admins.google.com, tìm kiếm từ khoá “Groups Visibility”. Trừ khi nhóm của bạn yêu cầu các nhóm khác có quyền truy cập bởi người dùng bên ngoài, Kenna khuyến cáo nên chuyển chế độ cài đặt dịch vụ Google Group theo mức độ tên miền thành private. Các nhà nghiên cứu khuyên người dùng kiểm tra việc cài đặt nhóm cá nhân để xác định liệu họ có được cấu hình đúng hay không.
Để kiểm tra xem dữ liệu của bạn có bị bên thứ ba nhìn thấy hay không, bạn có thể kiểm tra tính năng Google Groups, ghi lại số lượt view. Đáng chú ý là cuộc điều tra của Kenna cho thấy con số này bằng 0 đối với hầu hết các doanh nghiệp bị ảnh hưởng, cho thấy chỉ một số ít người dùng, hoặc nếu có sử dụng giao diện này cho các mục đích xấu.
Các bạn có thể xem hướng dẫn để điều chỉnh các cài đặt trên Google Group tại đây.
Theo Darkreading