Os administradores das organizações que usam os Grupos do Google e o G Suite precisam rever as suas configurações para evitar o leak de informações internas.
Investigadores de segurança da Kenna Security descobriram recentemente que 31% das 9.600 organizações analisadas estão a vazar informações confidenciais de e-mail.
A lista de entidades afetadas também inclui empresas da Fortune 500, hospitais, universidades e faculdades, jornais e estações de televisão, e até agências do governo dos EUA.
“Organizations utilizing G Suite are provided access to the Google Groups product, a web forum directly integrated with an organization’s mailing lists. Administrators may configure a Google Groups interface when creating a mailing list.” reads the blog post published by Kenna Security.
“Due to complexity in terminology and organization-wide vs group-specific permissions, it’s possible for list administrators to inadvertently expose email list contents. In practice, this affects a significant number of organizations”.
A descoberta não é nova. Em 2017, investigadores descobriram configurações incorretas do G Suite que podeiam levar ao leak de dados.
No entanto, desde o primeiro comunicado publicado pelos especialistas da RedLock, muitas organizações continuam a vazar dados. De acordo com a Kenna Security, o motivo principal é que o Grupos do Google usam uma terminologia complexa e permissões específicas para toda a organização versus grupos.
“Due to complexity in terminology and organization-wide vs group-specific permissions, it’s possible for list administrators to inadvertently expose email list contents. In practice, this affects a significant number of organizations” continues the post.
Quando um administrador do G Suite cria uma lista de discussão do Google Groups para determinados destinatários, ela configura uma interface da Web para a lista, disponível para os utilizadores em https://groups.google.com.
Google Group privacy settings for individuals can be adjusted on both a domain and a per-group basis. In affected organizations, the Groups visibility setting is available by searching “Groups Visibility” after logging into https://admin.google.com and it is configured to “Public on the Internet”.
Para descobrir se uma organização está afetada, os administradores podem navegar até a página de configuração e fazer login no G Suite como administrador e digitar “Settings for Groups for Business” ou simplesmente usar este link direto.
“In almost all cases – unless you’re explicitly using the Google Groups web interface – this should be set to “Private”.” continues the post.
“If publicly accessible, you may access your organization’s public listing at the following link: https://groups.google.com/a/[DOMAIN]/forum/#!forumsearch/”
Os administradores precisam definir como privados o “Grupo do Google” para proteger informações internas, como avaliações de clientes, faturas a pagar, recuperação de password / redefinir e-mails e muito mais.
É importante destacar que o Google não considera os problemas de configuração como uma vulnerabilidade. Os especialistas recomendam que os administradores leiam a documentação do Grupos do Google, e definam a configuração de partilha mais correta para as suas necessidades.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.