Підписуйтеся на наш телеграм канал!
Помилка Google Drive призвела до витоку персональних даних мільйонів користувачів
Японський розробник ігор Ateam Entertainment довів, що проста помилка конфігурації Google Диска може призвести до потенційного розкриття конфіденційної інформації майже мільйона людей упродовж 6 років і 8 місяців.
Про свою знахідку компанія повідомила користувачам своїх застосунків і сервісів, співробітникам і діловим партнерам торік, 21 листопада. За даними Ateam Entertainment, з березня 2017 року для екземпляра компанії в Google Диску було неправильно встановлене значення права доступу «Все в інтернеті: будь-який користувач може знайти файл у Google і відкрити його, не входячи в акаунт Google».
Небезпечно налаштований екземпляр Google Диск містив 1 369 файлів з особистою інформацією про клієнтів Ateam, ділових партнерів японської фірми, колишніх і теперішніх працівників і навіть стажерів та тих, кого лише рекрутували на посади. В Ateam підтвердили, що дані 935 779 осіб було розкрито, з них 98,9% - клієнти компанії.
Дані, що надаються неправильною конфігурацією, різняться залежно від типу взаємодії кожної людини з компанією і можуть включати наступне:
- Повні імена;
- Адреси електронної пошти;
- Телефонні номери;
- Клієнтські номери;
- Ідентифікаційні номери термінала (пристрою).
Компанія заявляє, що не бачила конкретних доказів того, що зловмисники вкрали розкриту інформацію, однак закликає людей зберігати пильність щодо небажаних і підозрілих повідомлень.
Якщо встановити для файлу в Google Диску значення «Все в інтернеті», файл буде доступний для перегляду тільки тим, хто має точну URL-адресу, зазвичай призначену для спільної роботи між людьми, які працюють з не конфіденційними даними. Якщо співробітник або інший користувач, у якого є посилання, помилково опублікує його назагал, воно може бути проіндексоване пошуковими системами та стати загальнодоступним.
Хоча малоймовірно, що будь-хто самостійно знайшов відкриту URL-адресу Google Диска, це повідомлення демонструє необхідність того, щоб компанії належним чином захищали свої хмарні сервіси для запобігання помилкового розкриття даних.