logo

Dane kontaktowe

ul. M.Boruty-Spiechowicza 24
43-300 Bielsko-Biała
Email: biuro@plikcenter.pl
Szybki kontakt tel: 692443715
Tel: (0 33) 444 61 43
mobile-logo

Google zataiło dziurę, która umożliwiała dostęp do prywatnych danych 500 tysięcy użytkowników

09 Paź

Google zataiło dziurę, która umożliwiała dostęp do prywatnych danych 500 tysięcy użytkowników

by admin
in Nowości Bezpieczeństwo
Comments

Google wyłączyło dziś Google+, czyli serwis, który miał być klonem Facebooka, a okazał się największą porażką w kategorii “serwis społecznościowy”. Powodem wbicia gwoździa do trumny Google Plus jest po części dziura, która przez 3 lata umożliwiała kradzież prywatnych danych użytkowników Google.

Co można było wykraść

Dziura związana była z API. Jej wykorzystanie świetnie opisuje WSJ:

Według jednej z osób zaznajomionej ze sprawą, za pomocą błędu można było uzyskać nieautoryzowany dostęp do:

  • imienia i nazwiska
  • adresu e-mail
  • daty urodzenia
  • płci
  • zdjęcia profilowego
  • miejsca zamieszkania
  • zawodu

Dostęp do numeru telefonu czy treści wiadomości e-mail oraz wpisów na “ścianie” użytkownika ponoć nie był możliwy.

Google twierdzi, że nikt z dziury nie skorzystał, ale pewności brak

Dziurę znaleziono podczas wewnętrznego audytu i Google utrzymuje, że po przejrzeniu logów, nic nie wskazuje na to, że ktoś z niej skorzystał aby wykraść dane użytkowników. Firma oszacowała, że ze względu na specyfikę błędu, mógł on objąć swoimi negatywnymi skutkami “jedynie” 500 tysięcy użytkowników.

Problem w tym, że w chwili znalezienia incydentu w marcu 2018 roku, Google miało tylko logi z 2 tygodni (i jeszcze tak krótki okres tłumaczy “ochroną prywatności”!), a fragment kodu, który umożliwiał kradzież danych wprowadzony został 3 lata wcześniej… Firmie brakuje więc danych, aby z całą stanowczością powiedzieć, że nikt nie skorzystał z dziury do kradzieży informacji.

Co więcej, Google nie ma żadnej możliwości audytu twórców 438 aplikacji, którzy korzystali z wadliwego API i mogli je wykorzystać do wyprowadzenia danych. Firma nie wie więc, czy developerzy to robili, a z informacji pozyskanych przez WSJ wynika, że nawet nie zadała im tego pytania.

Dlaczego Google zataiło informacje o dziurze?

“Ale jak to, jak to?” — powiedziecie — “odkryli w marcu a ujawniają dopiero teraz?”. No właśnie. Google z premedytacją ukryło informacje o błędzie, bo ich dział prawny i starszy stażem managerowie uznali, że poinformowanie ludzi o tej dziurze:

ściągnie na firmę natychmiastowe zainteresowanie regulatorów.

Przypomnijmy, że marzec 2018 to był okres afery Cambridge Analityca związanej z Facebookiem, kiedy to Facebook mocno tracił na wartości i odpływali od niego użytkownicy. Strach Google był więc uzasadniony. Zresztą niewykluczone jest, że wewnętrzny audyt API został sprowokowany właśnie tym skandalem bo Googlersi chcieli zweryfikować, czy przypadkiem podobnego “wyciągania danych” jak z Facebooka nie udało by się przeprowadzić przez API Google+. No i wyszło na to, że tak… I że generalnie zarządzanie uprawnieniami to nie jest łatwa sprawa. A że Z Google Plusa prawie nikt nie korzystał, to firma postanowiła projekt zaorać.

Dziury zdarzają się każdemu. I każdy, kto choć trochę działa w branży to rozumie. Ostatnio Facebokowi wykradziono tokeny dające dostęp do kont 50 milionów użytkowników. Firma, nauczona fuckupem z Cambridge Analytica, tym razem szybko o tym poinformowała, czym zyskała w oczach użytkowników.

Google nie zasługuje na potępienie za to, że w ich API była dziura. Mogła być. Znaleźli ją sami i załatali. Brawo! Ale, niestety, Google świadomie zataiło fakt istnienia tej dziury przed użytkownikami. I za to jak najbardziej należy firmę potępić.

Niewiele pomogą tu Googlowi nie do końca rzetelne tłumaczenia, że “nie znaleźliśmy śladów wykorzystania błędu do kradzieży danych“. Facebook też nie znalazł. A ujawnił. Twitter i Github — to samo.

W jednym jednak trzeba przyznać rację prawnikom Google — żadnego obowiązku zgłoszenia incydentu nie było. Rzecz działa się przed wejściem w życie GDPR/RODO. Uczciwie należy też zauważyć, że większość firm po wykryciu błędów w swojej infrastrukturze i stwierdzeniu braku wpływu na dane użytkowników, po prostu ich o takich incydentach nie informuje. Szkoda.

Co robić, jak żyć?

Jeśli uważasz, że choć masz konto Google, to błąd w Google+ Cię nie dotyczy, bo nigdy nie korzystałeś z tego serwisu albo nawet nie wiesz co to jest — to jesteś w błędzie. Firma domyślnie zakładała profile w tej niechcianej usłudze swoim użytkownikom. Na szczęście, w kontekście tego błędu, nie musisz niczego robić, więc jeśli brzydzi Cię interface Google+ to wciąż nie musisz go oglądać.

Warto jednak, aby każdy — nie tylko użytkownicy Google Plus — zdali sobie sprawę z tego, komu udostępniają swoje dane za sprawą tzw. “integracji” z zewnętrznymi aplikacjami. Dlatego zachęcamy Was do kliknięcia w poniższe linki, które ujawnią aplikacje, jakie (często nieświadomie) sparowaliście ze swoim kontem Google, kotem Facebooka lub Twitterem. I jeśli czegoś nie rozpoznajecie — usuńcie dostęp temu czemuś:

    • Kliknij tutaj, aby zobaczyć aplikacje, które mają dostęp do Twojego konta Google

    • Kliknij tutaj, aby zobaczyć aplikacje które mają dostęp do Twojego Facebooka

    • Kliknij tutaj aby zobaczyć aplikacje powiązane z Twoim kontem Twittera

Jak już będziecie w ustawieniach swoich kont Google, Facebook i Twitter, to rzućcie okiem także na inne funkcje bezpieczeństwa. Jest ich trochę. Mogą Wam pokazać jakie inne urządzenia (nie tylko aplikacje!) są aktualnie zalogowane na Wasze konta. Możecie też powłączać dwuskładnikowe uwierzytelnianie, najlepiej za pomocą kluczy U2F i generalnie podnieść bezpieczeństwo Waszych kont. Warto. Gdybyście chcieli dostać praktyczne wytyczne co i gdzie zrobić, to zapraszamy na nasz wykład pt. “Jak nie dać się zhackować?“, który już w czwartek odbędzie się w Gdańsku, a w kolejnych tygodniach także w Katowicach, Krakowie, Warszawie i Wrocławiu. Zapraszamy!

PS. Kto by pomyślał, że Google+ miało aż 500 tysięcy użytkowników…

 

 

źródło: niebezpiecznik.pl

Więcej informacji: