Os administradores das organizações que usam os Grupos do Google e o G Suite precisam rever as suas configurações para evitar o leak de informações internas.
Investigadores de segurança da Kenna Security descobriram recentemente que 31% das 9.600 organizações analisadas estão a vazar informações confidenciais de e-mail.
A lista de entidades afetadas também inclui empresas da Fortune 500, hospitais, universidades e faculdades, jornais e estações de televisão, e até agências do governo dos EUA.
“Organizations utilizing G Suite are provided access to the Google Groups product, a web forum directly integrated with an organization’s mailing lists. Administrators may configure a Google Groups interface when creating a mailing list.” reads the blog post published by Kenna Security.
“Due to complexity in terminology and organization-wide vs group-specific permissions, it’s possible for list administrators to inadvertently expose email list contents. In practice, this affects a significant number of organizations”.
A descoberta não é nova. Em 2017, investigadores descobriram configurações incorretas do G Suite que podeiam levar ao leak de dados.
No entanto, desde o primeiro comunicado publicado pelos especialistas da RedLock, muitas organizações continuam a vazar dados. De acordo com a Kenna Security, o motivo principal é que o Grupos do Google usam uma terminologia complexa e permissões específicas para toda a organização versus grupos.
“Due to complexity in terminology and organization-wide vs group-specific permissions, it’s possible for list administrators to inadvertently expose email list contents. In practice, this affects a significant number of organizations” continues the post.
Quando um administrador do G Suite cria uma lista de discussão do Google Groups para determinados destinatários, ela configura uma interface da Web para a lista, disponível para os utilizadores em https://groups.google.com.
Google Group privacy settings for individuals can be adjusted on both a domain and a per-group basis. In affected organizations, the Groups visibility setting is available by searching “Groups Visibility” after logging into https://admin.google.com and it is configured to “Public on the Internet”.
Para descobrir se uma organização está afetada, os administradores podem navegar até a página de configuração e fazer login no G Suite como administrador e digitar “Settings for Groups for Business” ou simplesmente usar este link direto.
“In almost all cases – unless you’re explicitly using the Google Groups web interface – this should be set to “Private”.” continues the post.
“If publicly accessible, you may access your organization’s public listing at the following link: https://groups.google.com/a/[DOMAIN]/forum/#!forumsearch/”
Os administradores precisam definir como privados o “Grupo do Google” para proteger informações internas, como avaliações de clientes, faturas a pagar, recuperação de password / redefinir e-mails e muito mais.
É importante destacar que o Google não considera os problemas de configuração como uma vulnerabilidade. Os especialistas recomendam que os administradores leiam a documentação do Grupos do Google, e definam a configuração de partilha mais correta para as suas necessidades.