Reading Time: 2 minutes

Investigadores em segurança relataram que uma configuração incorreta dos Grupos do Google expõe informações confidenciais.

Os administradores das organizações que usam os Grupos do Google e o G Suite precisam rever as suas configurações para evitar o leak de informações internas.

Investigadores de segurança da Kenna Security descobriram recentemente que 31% das 9.600 organizações analisadas estão a vazar informações confidenciais de e-mail.

A lista de entidades afetadas também inclui empresas da Fortune 500, hospitais, universidades e faculdades, jornais e estações de televisão, e até agências do governo dos EUA.

“Organizations utilizing G Suite are provided access to the Google Groups product, a web forum directly integrated with an organization’s mailing lists. Administrators may configure a Google Groups interface when creating a mailing list.” reads the blog post published by Kenna Security.

“Due to complexity in terminology and organization-wide vs group-specific permissions, it’s possible for list administrators to inadvertently expose email list contents. In practice, this affects a significant number of organizations”.

 

A descoberta não é nova. Em 2017, investigadores descobriram configurações incorretas do G Suite que podeiam levar ao leak de dados.

No entanto, desde o primeiro comunicado publicado pelos especialistas da RedLock, muitas organizações continuam a vazar dados. De acordo com a Kenna Security, o motivo principal é que o Grupos do Google usam uma terminologia complexa e permissões específicas para toda a organização versus grupos.

“Due to complexity in terminology and organization-wide vs group-specific permissions, it’s possible for list administrators to inadvertently expose email list contents. In practice, this affects a significant number of organizations” continues the post.

 

Quando um administrador do G Suite cria uma lista de discussão do Google Groups para determinados destinatários, ela configura uma interface da Web para a lista, disponível para os utilizadores em https://groups.google.com.

Google Group privacy settings for individuals can be adjusted on both a domain and a per-group basis. In affected organizations, the Groups visibility setting is available by searching “Groups Visibility” after logging into https://admin.google.com and it is configured to “Public on the Internet”.

GSuite-Screencap-1024x361

 

Para descobrir se uma organização está afetada, os administradores podem navegar até a página de configuração e fazer login no G Suite como administrador e digitar “Settings for Groups for Business” ou simplesmente usar este link direto.

“In almost all cases – unless you’re explicitly using the Google Groups web interface – this should be set to “Private”.” continues the post.

“If publicly accessible, you may access your organization’s public listing at the following link: https://groups.google.com/a/[DOMAIN]/forum/#!forumsearch/”

 

Os administradores precisam definir como privados o “Grupo do Google” para proteger informações internas, como avaliações de clientes, faturas a pagar, recuperação de password / redefinir e-mails e muito mais.

É importante destacar que o Google não considera os problemas de configuração como uma vulnerabilidade. Os especialistas recomendam que os administradores leiam a documentação do Grupos do Google, e definam a configuração de partilha mais correta para as suas necessidades.

Pedro Tavares is a professional in the field of information security, working as an Ethical Hacker, Malware Analyst, Cybersecurity Analyst and also a Security Evangelist. He is also a founding member and Pentester at CSIRT.UBI and founder of the security computer blog seguranca-informatica.pt.

In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, hacking, cybersecurity, IoT and security in computer networks.  He is also Freelance Writer.

Read more here.