Эксперты говорят об опасности новой уязвимости в Google Drive

Грэхем Клули (Graham Cluley), который считается признанным специалистом по безопасности, высказал свои опасения относительно новой уязвимости в Google Drive, которая недавно была исправлена компанией Google лишь частично. Эксперт считает, что это может стать типичным примером того, как сама природа облачных сервисов создает новые угрозы для безопасности.

 

Надо признать, что эта проблема касается только незначительного количества файлов на Google Drive. Но нетрудно догадаться, по какой причине компания Google занижает опасность проблемы. Ведь суть проблемы в том, что это уязвимость облачного хранения документов относится к категории концептуальных.

 

Как работает сервис? Документ находится на хранении в публичном хостинге. Ему присвоен уникальный URL. В настройках доступа к нему допускается указание: «Всем в интернете». В этом случае все, что содержится документе, будет включено в общий поисковый индекс Google, который открыт для всех. 

 

Еще один вариант настройки доступа — «Всем, у кого есть ссылка». Вот тут-то и кроется «засада». Предположим, пользователь имеет такой доступ и перейдет по ссылке, которая встроена в документ. И вот тут-то случайные люди могут узнать этот URL из логов сервера. Ведь он указан как referrer.

 

 

С первого взгляда кажется, что ситуация воспринимается как та, что относится к категории редких. Однако Грэхем Клули привел несколько вполне возможных сценариев, при реализации которых вполне вероятна утечка конфиденциальных данных. 

 

Скажем, может произойти так. Некая компания вступила в секретные переговоры. Обсуждается важный вопрос о возможности слияния с другой компаний. На определенном этапе переговоров компания высылает представителям другой компании URL со своей презентацией на хостинге Google Drive. 

 

В презентацию внедрена гиперссылка, которая указывает на сайт конкурента. И когда кто-либо щелкнет «мышкой» по этой ссылке, тогда конкурент тоже сможет получить доступ к презентации. Вся неприятность от такого развития ситуации сводится к тому, что именно от него-то, конкурента, изначально и предполагалось держать втайне все детали переговоров. 

 

Когда владелец документа указывает настройки доступа: «Всем, у кого есть ссылка», то он предполагает, что прочитать его действительно могут лишь те, кому он дал эту ссылку.

 

Компанией Google в данный момент закрыта отправка referrer’ов для документов, сконвертированных во внутренний формат Google Docs, для которых владелец откроет доступ в будущем. Однако это не сделано для старых документов. Грэхем Клули выступает за то, чтобы такие файлы удалить с Google Drive.